标题: 域名解析系统——DNS服务器大型专题 [打印本页]

---

作者: 童话    时间: 2006-5-22 09:27     标题: 域名解析系统——DNS服务器大型专题

DNS （英文单词的全称是：Domain Name System，域名系统）, DNS是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。   
  DNS 原理   
· WINS服务器和DNS服务器有什么区别? (2楼)
· 新手入门——了解DNS服务基本原理 (3楼)
· 来龙去脉分析 深入研究DNS原理(图) (4楼)
· 应用层DNS：域名系统 (5楼)
· 微软的AD与非动态DNS(图) (6楼)
· 问答之间：六个问答解除DNS疑惑 (7楼)
· DNS服务器工作原理 (8楼)
DNS 安装   
· Windows Server 2003 DNS服务安装篇(图) (9楼)
· 图文并茂一步步教你配置DNS服务 (10楼)
· 分离的DNS服务及其部署（组图） (11楼)
· Windows Server 2003下DNS架设攻略 (12楼)
· 详细讲解如何谨慎架设DNS服务器 (13楼)
· 个人服务器之Win2000 DNS服务器的设置 (14楼)
· DNS专题---Windows客户端的配置和解析 (15楼)
DNS 应用   
· 针对中小企业的AD域控与DNS建设方案(图) (16楼)
· 妙用DNS解析实现防火墙客户的重定向(图) (17楼)
· Windows服务器宝典一式NS调教技巧(图) (18楼)
· 微软交流：关于DNS的不完全总结 (19楼)
· 资深网管教你如何操作DNS最安全(图)  (20楼)
· Windows 2000 Server DNS维护一点通 (21楼)
· Win2000动态DNS的安全应用策略 (22楼)
· Windows 2003上网配置DNS的技巧 (23楼)
· Win 2k“秘密武器”之DNS工具(一) (24楼)
· 一步步从Win2k DNS 移植到 Linux 下 (25楼)
· 在Win 2003中为Web站点配置DNS记录 (26楼)
· 在Win 2003中为DNS配置Internet访问 (27楼)
DNS 故障   
· 网管经验之Windows服务器DNS故障问题 (28楼)
· [服务器维护经验谈]DNS巧解网络故障 (29楼)
· 怎样减少丢包对DNS服务器的影响？ (30楼)
· 解答:巧设DNS提高系统登录速度 (31楼)
· 详细讲解如何进行DNS故障排除 (32楼)
· 主要省份城市的DNS服务器地址 (33楼)
· DNS专题---诊断工具和实用程序 (34楼)

---

作者: 童话    时间: 2006-5-22 09:27

WINS服务器和DNS服务器有什么区别?
　　对于许多人来说，WINS服务器和DNS服务器之间的关系还是一件神秘的事情。不过，我们希望用你的问题澄清这个事情。
　　
　　首先，DNS指的是“域名服务器”，而WINS指的是“Windows互联网名称服务”。两者都是用来解析域名的，但是，使用的方法完全不同!
　　
　　为了帮助说明这个问题，我准备使用一个例子，保证让你正确地了解这两种服务的情况。
　　
　　考虑一个名为“Jupiter”的文件服务器和下面两个指令:
　　
　　Ping Jupiter.space.net
　　
　　Net use * jupiter mainshare
　　
　　上面两个指令看起来很相似。第一个指令是向我们的文件服务器发送一个ping (icmp echo)数据包，确认这个服务器在工作。而第二个指令呼叫同一台服务器(jupiter)，以便连接到一个名为“mainshare”的共享文件夹。
　　
　　虽然这两个指令都指向同一台服务器(Jupiter)，但是，它们之间的区别是很重要的。
　　
　　这里的“Ping”使用DNS把Jupiter.space.net解析为一个IP地址，如204.45.12.1。而“net use”指令使用WINS把NetBIOS名称“Jupiter”解析为一个IP地址。
　　
　　这样，你也许会感到疑惑，为什么有两种不同的服务实际上在完成同一个任务?
　　
　　这个问题的答案是，这两种服务的每一种服务都依靠不同的协议。他们只是以不同的方式工作。
　　
　　WINS是微软网络拓扑的一个重要的组成部分。在过去，你需要在Windows网络中运行一个WINS服务器以避免域名解析的问题。当时的这种NetBIOS(Windows机器名称)协议只能在NetBEUI传输协议上工作。如果你曾经使用过Windows 95,你会记得NetBEUI协议经常出现在你的网络属性中。在网络属性中，TCP/IP协议也是一个选项。
　　
　　目前，DNS取代了WINS。由于微软对NetBIOS做了修改，允许它使用TCP/IP堆栈完成其工作(TCP/IP协议上的NetBIOS)，大多数DNS服务器都能够处理NetBIOS的请求。这就是WINS服务器变得越来越少的原因。
　　
　　简言之，DNS把TCP/IP主机名称映射为IP地址，WINS把NetBIOS主机名称映射为IP地址。注释掉的------>WINS服务器和DNS服务器有什么区别?
　　对于许多人来说，WINS服务器和DNS服务器之间的关系还是一件神秘的事情。不过，我们希望用你的问题澄清这个事情。
　　
　　首先，DNS指的是“域名服务器”，而WINS指的是“Windows互联网名称服务”。两者都是用来解析域名的，但是，使用的方法完全不同!
　　
　　为了帮助说明这个问题，我准备使用一个例子，保证让你正确地了解这两种服务的情况。
　　
　　考虑一个名为“Jupiter”的文件服务器和下面两个指令:
　　
　　Ping Jupiter.space.net
　　
　　Net use * jupiter mainshare
　　
　　上面两个指令看起来很相似。第一个指令是向我们的文件服务器发送一个ping (icmp echo)数据包，确认这个服务器在工作。而第二个指令呼叫同一台服务器(jupiter)，以便连接到一个名为“mainshare”的共享文件夹。
　　
　　虽然这两个指令都指向同一台服务器(Jupiter)，但是，它们之间的区别是很重要的。
　　
　　这里的“Ping”使用DNS把Jupiter.space.net解析为一个IP地址，如204.45.12.1。而“net use”指令使用WINS把NetBIOS名称“Jupiter”解析为一个IP地址。
　　
　　这样，你也许会感到疑惑，为什么有两种不同的服务实际上在完成同一个任务?
　　
　　这个问题的答案是，这两种服务的每一种服务都依靠不同的协议。他们只是以不同的方式工作。
　　
　　WINS是微软网络拓扑的一个重要的组成部分。在过去，你需要在Windows网络中运行一个WINS服务器以避免域名解析的问题。当时的这种NetBIOS(Windows机器名称)协议只能在NetBEUI传输协议上工作。如果你曾经使用过Windows 95,你会记得NetBEUI协议经常出现在你的网络属性中。在网络属性中，TCP/IP协议也是一个选项。
　　
　　目前，DNS取代了WINS。由于微软对NetBIOS做了修改，允许它使用TCP/IP堆栈完成其工作(TCP/IP协议上的NetBIOS)，大多数DNS服务器都能够处理NetBIOS的请求。这就是WINS服务器变得越来越少的原因。
　　
　　简言之，DNS把TCP/IP主机名称映射为IP地址，WINS把NetBIOS主机名称映射为IP地址。

---

作者: 童话    时间: 2006-5-22 09:28

新手入门——了解DNS服务基本原理
　　我们已经知道，既可以使用主机名标识一台主帆，也可以使用IP地址标识。人们更愿意使用便于记忆的主机名标识符，而路由器则只愿使用长度固定并有层次结构的IP地址。
　　
　　我们可以通过多种方法来识别一个人。例如，通过出生证明上的姓名，还可以通过社会安全编号、通过驾驶执照编号。尽管这些标识都可以用来识别人，但是在某种背景下会有一种标识比其他的标识更加恰当。例如，IRS(美国的一个税收机构)中的计算机喜欢使用固定长度的社会安全编号而不是出生证上的姓名来标注。另——方面，日常生活中人们喜欢用更好记的出生证上的姓名而不是社会安全编号〔确实，你能想象出如果一个人说“嗨，我的名字是132—67—9875，请找一下我丈夫，178—87—1146”会是何等滑稽的场景)。
　　
　　因特网中的主机就像人一样能以多种力式标识。标识方法之一是使用主机名(hostname)。主机名(例如cnn.com，
www.yahoo.com)
是助记性的，人们更愿意使用。然而主机名几乎没有提供关于主机在因特网中的位置信息(主机名为sina.com.cn的主机也许是在中国境内，此外不再有别的位置信息了)。另外，主机名是由可变长度的字母数字字符构成的，路由器处理起来有困难。因此因特网中的主机也使用所谓的IP地址标识。我们将在以后深入讨论IP地址，这里只简单地说明一下。IP地址由4个字节构成，具有严格的层次结构。IP地址一般以点分十进制数格式表示，也就是说所有4个字节都以0—255之间的十进制数表示，各个字节之间以点号分隔，例如121.7.106.83。IP地址具有层次结构，当从左到右扫描某个地址时，我们得到关于其主机在因特网中所在位置的越来越明确的信息。这就像从下到上扫描某个邮政地址时，我们得到关于住宅所在位置的越来越明确的信息一样。
　　
　　DNS提供的服务
　　
　　我们已经知道，既可以使用主机名标识一台主帆，也可以使用IP地址标识。人们更愿意使用便于记忆的主机名标识符，而路由器则只愿使用长度固定民有层次结构的IP地址。为调解这两种不同的偏好，我们需要一个把主机名转换成IP地址的目录服务。这就是因特网的域名系统(Domain Name System，DNS)的主要任务。DNS既是一个在由名称服务器主机构成的层次结构中实现的分布式数据库，又是一个允许客户主机和名称服务器主机通信以使用域名转换服务的应用层协议。名称服务器主机通常是运行Berkeley Internet Name Domain(简称BIND)软件的UNIX主机。DNS协议运行在UDP之上，使用端口号53。
　　
　　其他应用层协议(例如HTTP，SMTP,FTP)普遍使用DNS把由用户提供的主机名转换成IP地址。作为例子，我们考虑某个用户使用运行在本地主机上的一个浏览器(也就是HTTP客户)请求
http://www.yesky.com
时会发生什么。为了把HTTP请求消息发送到名为
www.yesky.com
的web服务器主机，浏览器必须获悉这台主机的IP地址。我们知道，差不多每台主机都运行着DNS应用的客户端。浏览器从URL中抽取出主机名后把它传递给本地主机上的DNS应用客户端。DNS客户于是向某个DNS服务器发出一个包含该主机名的DNS查询消息。DNS客户最终收到一个包含与该主机名对应的IP地址的应答消息。浏览器接着打开一个到位于该IP地址的HTTP服务器的TCP连接。从这个例子中可以看出，DNS给使用它的因特网应用引入了额外延迟(有时还相当大)。所幸的是，正如我们即将讨论的那样.预期的主机名—IP地址对应关系往往高速缓存在就近的DNS名称服务器主机中，从而帮助降低了DNS访问延迟和DNS网络流量。
　　
　　除了从主机名到IP地址的转换，DNS还提供其他一些重要的服务:●主机别名(hody aliasing)。具有复杂主机名的主机还可以有一个或多个别名。例如，
　　
　　主机名为relay1.west-coast.enterprise.com的主机有两个别名:enterprise.com和
www.enterprise.com
。这种情况下，主机名relay1.west-coast.enterprise.com特称为正规主机名(canonical hostname)，另外两个主机名则是别名主机名(alias hostname)。
　　
　　别名主机名往往比正规主机名更便于记忆。应用可以调用DNS获取所给定别名主机名的正规主机名和IP地址。
　　
　　●邮件服务器别名(mall server aliasing)。电子邮件地址显然要求便于记忆。例如，如果Bob有一个hotmail账号，那么他的电子邮件地址可能是简单的
bob@hotmail.com
。然而hotmail邮件服务器的主机名要比hotmail.com复杂且不易记住。电子邮件应用可以调用DNS获取所给定别名主机名的正规主机名和IP地址。事实上，DNS允许一个公司的邮件服务器和Web服务器使用相同的别名主机名。例如，某个公司的web服务器和邮件服务器可以都称为enterprise.com。
　　
　　●负载分担(load distribution)。DNS还越来越多地用于执行在多个复制成的服务器(例如复制成的Web服务器)之间的负载分担。像cnn.com那样的繁忙站点往往把Web服务器复制成多个，每个服务器运行在不向的端系统上，具有不同的IP地址。对于复制成的多个Web服务器，与其单个正规主机名相关联的是一组IP地址。DNS数据库中保存着这组IP地址。客户发出针对映射到一组IP地址的某个主机名的DNS查询后，服务器响应以整组IP地址，不过每次响应的地址顺序是轮转的。既然访问web站点时，浏览器一般把HTTP请求消息发送给内DNS客户否询到的一组IP地址中的第一个，DNS轮转于是把web站点的访问负载分担在所有复制成的服务器上。电子邮件应用也可以使用DNS轮转，这样多个邮件服务器可以有相同的别名。近来，有些公司已经以更为复杂的方式使用DNS提供web内容分发服务。
　　
　　DNS在RFC 1034和RFC 1035中有详细说明，并在另外若干个RFC中作了更新。DNS是一个复杂的系统，我们只在这儿讨论其操作的关键方面。感兴趣朗读者可以参见协议文档。注释掉的------>新手入门——了解DNS服务基本原理
　　我们已经知道，既可以使用主机名标识一台主帆，也可以使用IP地址标识。人们更愿意使用便于记忆的主机名标识符，而路由器则只愿使用长度固定并有层次结构的IP地址。
　　
　　我们可以通过多种方法来识别一个人。例如，通过出生证明上的姓名，还可以通过社会安全编号、通过驾驶执照编号。尽管这些标识都可以用来识别人，但是在某种背景下会有一种标识比其他的标识更加恰当。例如，IRS(美国的一个税收机构)中的计算机喜欢使用固定长度的社会安全编号而不是出生证上的姓名来标注。另——方面，日常生活中人们喜欢用更好记的出生证上的姓名而不是社会安全编号〔确实，你能想象出如果一个人说“嗨，我的名字是132—67—9875，请找一下我丈夫，178—87—1146”会是何等滑稽的场景)。
　　
　　因特网中的主机就像人一样能以多种力式标识。标识方法之一是使用主机名(hostname)。主机名(例如cnn.com，

www.yahoo.com)

是助记性的，人们更愿意使用。然而主机名几乎没有提供关于主机在因特网中的位置信息(主机名为sina.com.cn的主机也许是在中国境内，此外不再有别的位置信息了)。另外，主机名是由可变长度的字母数字字符构成的，路由器处理起来有困难。因此因特网中的主机也使用所谓的IP地址标识。我们将在以后深入讨论IP地址，这里只简单地说明一下。IP地址由4个字节构成，具有严格的层次结构。IP地址一般以点分十进制数格式表示，也就是说所有4个字节都以0—255之间的十进制数表示，各个字节之间以点号分隔，例如121.7.106.83。IP地址具有层次结构，当从左到右扫描某个地址时，我们得到关于其主机在因特网中所在位置的越来越明确的信息。这就像从下到上扫描某个邮政地址时，我们得到关于住宅所在位置的越来越明确的信息一样。
　　
　　DNS提供的服务
　　
　　我们已经知道，既可以使用主机名标识一台主帆，也可以使用IP地址标识。人们更愿意使用便于记忆的主机名标识符，而路由器则只愿使用长度固定民有层次结构的IP地址。为调解这两种不同的偏好，我们需要一个把主机名转换成IP地址的目录服务。这就是因特网的域名系统(Domain Name System，DNS)的主要任务。DNS既是一个在由名称服务器主机构成的层次结构中实现的分布式数据库，又是一个允许客户主机和名称服务器主机通信以使用域名转换服务的应用层协议。名称服务器主机通常是运行Berkeley Internet Name Domain(简称BIND)软件的UNIX主机。DNS协议运行在UDP之上，使用端口号53。
　　
　　其他应用层协议(例如HTTP，SMTP,FTP)普遍使用DNS把由用户提供的主机名转换成IP地址。作为例子，我们考虑某个用户使用运行在本地主机上的一个浏览器(也就是HTTP客户)请求

http://www.yesky.com

时会发生什么。为了把HTTP请求消息发送到名为

www.yesky.com

的web服务器主机，浏览器必须获悉这台主机的IP地址。我们知道，差不多每台主机都运行着DNS应用的客户端。浏览器从URL中抽取出主机名后把它传递给本地主机上的DNS应用客户端。DNS客户于是向某个DNS服务器发出一个包含该主机名的DNS查询消息。DNS客户最终收到一个包含与该主机名对应的IP地址的应答消息。浏览器接着打开一个到位于该IP地址的HTTP服务器的TCP连接。从这个例子中可以看出，DNS给使用它的因特网应用引入了额外延迟(有时还相当大)。所幸的是，正如我们即将讨论的那样.预期的主机名—IP地址对应关系往往高速缓存在就近的DNS名称服务器主机中，从而帮助降低了DNS访问延迟和DNS网络流量。
　　
　　除了从主机名到IP地址的转换，DNS还提供其他一些重要的服务:●主机别名(hody aliasing)。具有复杂主机名的主机还可以有一个或多个别名。例如，
　　
　　主机名为relay1.west-coast.enterprise.com的主机有两个别名:enterprise.com和

www.enterprise.com

。这种情况下，主机名relay1.west-coast.enterprise.com特称为正规主机名(canonical hostname)，另外两个主机名则是别名主机名(alias hostname)。
　　
　　别名主机名往往比正规主机名更便于记忆。应用可以调用DNS获取所给定别名主机名的正规主机名和IP地址。
　　
　　●邮件服务器别名(mall server aliasing)。电子邮件地址显然要求便于记忆。例如，如果Bob有一个hotmail账号，那么他的电子邮件地址可能是简单的

bob@hotmail.com

。然而hotmail邮件服务器的主机名要比hotmail.com复杂且不易记住。电子邮件应用可以调用DNS获取所给定别名主机名的正规主机名和IP地址。事实上，DNS允许一个公司的邮件服务器和Web服务器使用相同的别名主机名。例如，某个公司的web服务器和邮件服务器可以都称为enterprise.com。
　　
　　●负载分担(load distribution)。DNS还越来越多地用于执行在多个复制成的服务器(例如复制成的Web服务器)之间的负载分担。像cnn.com那样的繁忙站点往往把Web服务器复制成多个，每个服务器运行在不向的端系统上，具有不同的IP地址。对于复制成的多个Web服务器，与其单个正规主机名相关联的是一组IP地址。DNS数据库中保存着这组IP地址。客户发出针对映射到一组IP地址的某个主机名的DNS查询后，服务器响应以整组IP地址，不过每次响应的地址顺序是轮转的。既然访问web站点时，浏览器一般把HTTP请求消息发送给内DNS客户否询到的一组IP地址中的第一个，DNS轮转于是把web站点的访问负载分担在所有复制成的服务器上。电子邮件应用也可以使用DNS轮转，这样多个邮件服务器可以有相同的别名。近来，有些公司已经以更为复杂的方式使用DNS提供web内容分发服务。
　　
　　DNS在RFC 1034和RFC 1035中有详细说明，并在另外若干个RFC中作了更新。DNS是一个复杂的系统，我们只在这儿讨论其操作的关键方面。感兴趣朗读者可以参见协议文档。

---

作者: 童话    时间: 2006-5-22 09:28

来龙去脉分析 深入研究DNS原理(图)
　　计算机在网络上进行通讯时只能识别如“201.51.0.73”之类的IP地址，而不能认识域名.但是，当打开浏览器，在地址栏中输入域名后，就能看到所需要的页面，这是因为有一个叫“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址，然后调出IP地址所对应的网页。
　　
　　什么是DNS
　　
　　DNS( Domain Name System)是“域名系统”的英文缩写，是一种组织成域层次结构的计算机和网络服务命名系统，它用于TCP/IP网络，它主要是用来通过用户亲切而友好的名称代替枯燥而难记的IP地址以定位相应的计算机和相应服务。因此，要想让亲切而友好的名称能被网络所认识，则需要在名称和IP地址之间有一位“翻译官”，它能将相关的域名翻译成网络能接受的相应IP地址。DNS就是这样的一位“翻译官”，它的工作原理可用图1来表示。
　　
　

　　
图1
　　
　　
[color="purple"]如何建立DNS
　　
　　在校园网内部使用DNS，可以建立内部的DNS服务，使我们的校园网络的应用更加具有人性化。
　　
　　1、欲实现的目标
　　
　　某学校由于工作的需要，想配置一名为sjsgz.net的域，如图2所示。
　　
　

　　
图2
　　
　　在这个域中，为了使用户在浏览器地址栏中键入相应的主机名就会找到相应的服务，为此，需要设置相应的DNS服务器。
　　
　　2、DNS服务的安装
　　
　　我们从guanli.sjsgz.net开始，准备在这台计算机上安装DNS服务器服务。安装DNS的步骤如下:
　　
　　(1)选“开始→设置→控制面板”，打开“添加/删除程序”。
　　
　　(2)单击“添加/删除Windows组件”，等待Windows组件向导启动。
　　
　　(3)单击[下一步]按钮弹出Windows组件清单。
　　
　　(4)单击[网络服务]，然后再单击[详细情况]按钮。
　　
　　(5)单击“DNS(域名系统)”旁的复选框。
　　
　　(6)单击[确定]按钮返回“Windows组件”对话框。
　　
　　(7)单击[下一步]安装相应的服务，然后逐一单击[完成]和[关闭]按钮即可完成。
　　
　　不需要重新启动计算机，单击“开始→程序→管理工具→DNS”，出现如图3所示的窗口，此时可以在左边的窗口中看到代表你的服务器的图标(guanli)。
　　
　　3、创建“sjsgz.net”区域
　　
　　(1)用鼠标单击图3中“guanli”旁边的“+”号，然后用鼠标右键单击“guanli”，选“新建区域”以进入新建区域向导中。
　　
　　(2)当向导提示到要让选择“区域类型”时，此处应该选“标准主要区域”，而在“正向或反向搜索区域中”应选“正向搜索区域”，单击“正向搜索区域”旁边的“+”号，用鼠标右键单击“正向搜索区域”，单击[下一步]按钮。
　　
　　(3)屏幕出现询问“区域名”，则在“名称”后的文字框中输入“sjsgz.net”，接着向导进入到“区域文件”提示窗口中，默认的，系统会自动选中“创建新文件，文件名为”一项，并在其后的文字框中自动填有“sjsgz.net.dns”的名字(如图4所示)，单击[下一步]按钮，然后单击[完成]即可完成区域创建，此时在DNS管理器的左边的“guanli→正向搜索区域”里可以看到“sjsgz.net”区域(如图3所示)。
　　
　

　　
图3
　　
　　注意:创建正向搜索区域的目的是为了将主机名翻译为IP地址，你也可以创建反向搜索区域，便于将IP地址翻译成相应的主机名，创建方法和正向搜索区域的创建相似。
　　
　　4、创建主机
　　
　　下面我们将以创建图2中Web服务器(
www.sjsgz.net)
主机为例说明如何创建主机。
　　
　　(1)在图3所示窗口中的“sjsgz.net”区域上单击右键，选“新建主机”，在其后的对话框中的“名称”栏中输入主机名“www”，在“IP地址”栏输入“10.88.56.2”。
　　
　　(2)单击[添加主机]按钮，即成功地创建了主机地址记录
www.sjsgz.net
，在“新建主机”窗口再选“完成”便可回到DNS管理器中。
　　
　　(3)上述记录建好以后，就可以在DNS管理器中看到相关的DNS映射记录表(如图4所示)，这样，就在“
www.sisgz.net
”与“10.88.56.2”之间建立了映射关系。
　　

　　
图4
　　
　　5、测试配置
　　
　　DNS服务器配置完以后，如何检测它是否配置正确呢?可以用一个称作“Nslookup”的诊断程序来进行检测。下面我们就用这个命令对“guanli.sjsgz.net”DNS服务器进行测试。
　　
　　(1)在命令提示符下输入:Nslookup，启动该程序。此时系统会响应它当前翻译名字所使用的DNS服务器的IP地址。
　　
　　(2)然后在命令提示符下输入:ls - d sjsgz.net。这个命令的功能是让DNS服务器列出它所知道的有关sjsgz.net的每一条信息。
　　
　　(3)在命令提示符下输入:Exit，即可退出Nslookup命令。
　　
　　注意:在安装“DNS服务器”之前，必须用静态的IP地址配置计算机。
　　
　　在校园网中安装、配置DNS服务器的目的是为了更好地应用网络为教育教学服务、更好地提供一个具有人性化的应用环境。但是有一点需要注意的是，为了配置DNS的动态更新功能，必须配置DNS和DHCP服务器。注释掉的------>来龙去脉分析 深入研究DNS原理(图)
　　计算机在网络上进行通讯时只能识别如“201.51.0.73”之类的IP地址，而不能认识域名.但是，当打开浏览器，在地址栏中输入域名后，就能看到所需要的页面，这是因为有一个叫“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址，然后调出IP地址所对应的网页。
　　
　　什么是DNS
　　
　　DNS( Domain Name System)是“域名系统”的英文缩写，是一种组织成域层次结构的计算机和网络服务命名系统，它用于TCP/IP网络，它主要是用来通过用户亲切而友好的名称代替枯燥而难记的IP地址以定位相应的计算机和相应服务。因此，要想让亲切而友好的名称能被网络所认识，则需要在名称和IP地址之间有一位“翻译官”，它能将相关的域名翻译成网络能接受的相应IP地址。DNS就是这样的一位“翻译官”，它的工作原理可用图1来表示。
　　
　

　　
图1
　　
　　
如何建立DNS
　　
　　在校园网内部使用DNS，可以建立内部的DNS服务，使我们的校园网络的应用更加具有人性化。
　　
　　1、欲实现的目标
　　
　　某学校由于工作的需要，想配置一名为sjsgz.net的域，如图2所示。
　　
　

　　
图2
　　
　　在这个域中，为了使用户在浏览器地址栏中键入相应的主机名就会找到相应的服务，为此，需要设置相应的DNS服务器。
　　
　　2、DNS服务的安装
　　
　　我们从guanli.sjsgz.net开始，准备在这台计算机上安装DNS服务器服务。安装DNS的步骤如下:
　　
　　(1)选“开始→设置→控制面板”，打开“添加/删除程序”。
　　
　　(2)单击“添加/删除Windows组件”，等待Windows组件向导启动。
　　
　　(3)单击[下一步]按钮弹出Windows组件清单。
　　
　　(4)单击[网络服务]，然后再单击[详细情况]按钮。
　　
　　(5)单击“DNS(域名系统)”旁的复选框。
　　
　　(6)单击[确定]按钮返回“Windows组件”对话框。
　　
　　(7)单击[下一步]安装相应的服务，然后逐一单击[完成]和[关闭]按钮即可完成。
　　
　　不需要重新启动计算机，单击“开始→程序→管理工具→DNS”，出现如图3所示的窗口，此时可以在左边的窗口中看到代表你的服务器的图标(guanli)。
　　
　　3、创建“sjsgz.net”区域
　　
　　(1)用鼠标单击图3中“guanli”旁边的“+”号，然后用鼠标右键单击“guanli”，选“新建区域”以进入新建区域向导中。
　　
　　(2)当向导提示到要让选择“区域类型”时，此处应该选“标准主要区域”，而在“正向或反向搜索区域中”应选“正向搜索区域”，单击“正向搜索区域”旁边的“+”号，用鼠标右键单击“正向搜索区域”，单击[下一步]按钮。
　　
　　(3)屏幕出现询问“区域名”，则在“名称”后的文字框中输入“sjsgz.net”，接着向导进入到“区域文件”提示窗口中，默认的，系统会自动选中“创建新文件，文件名为”一项，并在其后的文字框中自动填有“sjsgz.net.dns”的名字(如图4所示)，单击[下一步]按钮，然后单击[完成]即可完成区域创建，此时在DNS管理器的左边的“guanli→正向搜索区域”里可以看到“sjsgz.net”区域(如图3所示)。
　　
　

　　
图3
　　
　　注意:创建正向搜索区域的目的是为了将主机名翻译为IP地址，你也可以创建反向搜索区域，便于将IP地址翻译成相应的主机名，创建方法和正向搜索区域的创建相似。
　　
　　4、创建主机
　　
　　下面我们将以创建图2中Web服务器(

www.sjsgz.net)

主机为例说明如何创建主机。
　　
　　(1)在图3所示窗口中的“sjsgz.net”区域上单击右键，选“新建主机”，在其后的对话框中的“名称”栏中输入主机名“www”，在“IP地址”栏输入“10.88.56.2”。
　　
　　(2)单击[添加主机]按钮，即成功地创建了主机地址记录

www.sjsgz.net

，在“新建主机”窗口再选“完成”便可回到DNS管理器中。
　　
　　(3)上述记录建好以后，就可以在DNS管理器中看到相关的DNS映射记录表(如图4所示)，这样，就在“

www.sisgz.net

”与“10.88.56.2”之间建立了映射关系。
　　

　　
图4
　　
　　5、测试配置
　　
　　DNS服务器配置完以后，如何检测它是否配置正确呢?可以用一个称作“Nslookup”的诊断程序来进行检测。下面我们就用这个命令对“guanli.sjsgz.net”DNS服务器进行测试。
　　
　　(1)在命令提示符下输入:Nslookup，启动该程序。此时系统会响应它当前翻译名字所使用的DNS服务器的IP地址。
　　
　　(2)然后在命令提示符下输入:ls - d sjsgz.net。这个命令的功能是让DNS服务器列出它所知道的有关sjsgz.net的每一条信息。
　　
　　(3)在命令提示符下输入:Exit，即可退出Nslookup命令。
　　
　　注意:在安装“DNS服务器”之前，必须用静态的IP地址配置计算机。
　　
　　在校园网中安装、配置DNS服务器的目的是为了更好地应用网络为教育教学服务、更好地提供一个具有人性化的应用环境。但是有一点需要注意的是，为了配置DNS的动态更新功能，必须配置DNS和DHCP服务器。

---

作者: 童话    时间: 2006-5-22 09:29

应用层DNS：域名系统（DNS：Domain Name Systems）
　　DNS：域名系统（DNS：Domain Name Systems）
　　域名系统协议（DNS）是一种分布式网络目录服务，主要用来把主机名转换为 IP 网络地址，并控制因特网的电子邮件的发送。大多数因特網服务器依赖于 DNS 而工作，一旦 DNS 出错，就无法下载 Web 站点并且中止电子邮件的发送。
　　
　　DNS 有两个主要方面：
　　详述域名语法和规范，以授予域名权限。基本语法是：local.group.site ；
　　详述分布式计算机系统的实现，将域名转换成地址。
　　DNS 命名格式中，域名空间的授权以及域名与地址的转换采用的都是分层和分布式结构，一些授权的机构可以各自转换其权限以内的名字和 IP 地址。DNS 的命名是为全球性的网络设备分配名字，由分布式名字服务器组实施。
　　
　　理论上，DNS 协议中的域名标准阐述了一种任意标签值的分布式抽象域名空间。任何组织都可以建立域系统，为所有分布结构选择标签，但大多数 DNS 协议用户遵循用于因特网系统慣用域名系统。常见的顶级域是：COM、EDU、GOV、NET、ORG、BIZ，另外还有一些带国家代码的顶级域。
　　
　　分布式 DNS 模式支持有效且可靠的名字与 IP 地址转换。多数名字可以在本地转换，合作式多站点服务器组能够解决大网络的名字与 IP 地址的转换问题。单个机器的故障不会阻止 DNS 的正确操作，DNS是基本目标协议，并不受网络设备名限制。
　　
　　协议结构
　　

　　ID – 用于连接查询和答复的16bit。
　　Q – 识别查询和答复消息的1位字段。
　　Query – 描述消息类型的4位字段：
　　0 标准查询（由姓名到地址）；
　　1 逆向查询；
　　2 服务状态请求
　　A – 命令回答：1位字段。当设置为1时，识别由命令名字服务器作出的答复。
　　T – 切断。1位字段。当设置为1，表明消息已被切断。
　　R – 1位字段。由名字服务器设置为1请求递归服务。
　　V –1位字段。由名字服务器设置表示递归服务的实用性。
　　B –3位字段。备用，必须设置为0。
　　Rcode – 响应代码，由名字服务器设置的4位字段用以识别查询状态。
　　Question count – 16位字段用以定义问题部分的登陆号。
　　Answer count – 16位字段，用以定义回答部分的资源记录号。
　　Authority count – 16位字段，用以定义命令部分名字服务器的资源记录号。
　　Additional count – 16位字段，用以定义附加记录部分的资源记录号。注释掉的------>应用层DNS：域名系统（DNS：Domain Name Systems）
　　DNS：域名系统（DNS：Domain Name Systems）
　　域名系统协议（DNS）是一种分布式网络目录服务，主要用来把主机名转换为 IP 网络地址，并控制因特网的电子邮件的发送。大多数因特網服务器依赖于 DNS 而工作，一旦 DNS 出错，就无法下载 Web 站点并且中止电子邮件的发送。
　　
　　DNS 有两个主要方面：
　　详述域名语法和规范，以授予域名权限。基本语法是：local.group.site ；
　　详述分布式计算机系统的实现，将域名转换成地址。
　　DNS 命名格式中，域名空间的授权以及域名与地址的转换采用的都是分层和分布式结构，一些授权的机构可以各自转换其权限以内的名字和 IP 地址。DNS 的命名是为全球性的网络设备分配名字，由分布式名字服务器组实施。
　　
　　理论上，DNS 协议中的域名标准阐述了一种任意标签值的分布式抽象域名空间。任何组织都可以建立域系统，为所有分布结构选择标签，但大多数 DNS 协议用户遵循用于因特网系统慣用域名系统。常见的顶级域是：COM、EDU、GOV、NET、ORG、BIZ，另外还有一些带国家代码的顶级域。
　　
　　分布式 DNS 模式支持有效且可靠的名字与 IP 地址转换。多数名字可以在本地转换，合作式多站点服务器组能够解决大网络的名字与 IP 地址的转换问题。单个机器的故障不会阻止 DNS 的正确操作，DNS是基本目标协议，并不受网络设备名限制。
　　
　　协议结构
　　

　　ID – 用于连接查询和答复的16bit。
　　Q – 识别查询和答复消息的1位字段。
　　Query – 描述消息类型的4位字段：
　　0 标准查询（由姓名到地址）；
　　1 逆向查询；
　　2 服务状态请求
　　A – 命令回答：1位字段。当设置为1时，识别由命令名字服务器作出的答复。
　　T – 切断。1位字段。当设置为1，表明消息已被切断。
　　R – 1位字段。由名字服务器设置为1请求递归服务。
　　V –1位字段。由名字服务器设置表示递归服务的实用性。
　　B –3位字段。备用，必须设置为0。
　　Rcode – 响应代码，由名字服务器设置的4位字段用以识别查询状态。
　　Question count – 16位字段用以定义问题部分的登陆号。
　　Answer count – 16位字段，用以定义回答部分的资源记录号。
　　Authority count – 16位字段，用以定义命令部分名字服务器的资源记录号。
　　Additional count – 16位字段，用以定义附加记录部分的资源记录号。

---

作者: 童话    时间: 2006-5-22 09:29

微软的AD与非动态DNS(图)
　　微软的AD对DNS的要求可以总结为以下3点：（有点儿絮叨）
　　
　　a、在DNS名字空间中支持下划线，因为在AD中有些重要的子域需要在其名字中使用下划线。这一点在教程中没提。
　　
　　b、支持SRV记录，不用说为什么了。
　　
　　c、动态DNS（也可以使用不支持动态DNS，后面就有讲解）
　　
　　有的时候我们也可以采用一些其他公司的DNS产品来代替2000/2003的动态DNS服务。如支持SRV记录（RFC2782）和动态更新（RFC2136）的Linux系统上运行的BIND，或者Lucent公司的QIP DNS/DHCP系统。（后者没用过，不知道是个什么样儿，只在其他书籍中提过）但有的时候动态的DNS在某中情况中会给我们带来一些安全的隐患。AD与非动态DNS的结合实际上也是可行的。例如在以下文字中如果DNS支持SRV和下划线，但不支持动态DNS，仍然可以使用一个名字为Netlogon.dns的文件来实现AD。
　　
　　每台支持DDNS功能的计算机都会在DDNS中亲自写入一条自己的A记录。但是AD实际上需要依靠所有这些SRV记录，并且他们是由Netlogon服务写入区域文件的。每当重新启动一台DC或者重新启动Netlogon服务、或者过了一段时间没有更新的时候，Netlogon服务会与主DNS服务器联系，并注册自己的SRV记录。但DC上的Netlogon服务还做了其他的事情，它可以把这些SRV记录写入一个名为Netlogon.dns的ASCII文本文件。该文件存储在\Windows\System32\Config\中———进入任何一台DC，使用记事本可以查看该文件中有大量的SRV记录。
　　
　　如下图
　　

　　利用以上的说明就可以利用一台不支持动态升级的DNS实现支持AD。
　　
　　a、首先在DNS服务器上（不支持动态升级，如NT4.0）建立一个区域jzlld.vicp.net作为主要区域。将这个区域文件命名为jzlld.vicp.net.dns。
　　
　　b、为jzlld.vicp.net域中的每台DC输入A记录。
　　
　　c、进入jzlld.vicp.net域中的每台DC，然后启动它的Netlogon服务。
　　
　　d、把该DC上的\Windows\Syytem32\Config\Netlogon.dns文件放到一张软盘或者网络上。
　　
　　e、取得所有DC的Netlogon.dns文件后，在jzlld.vicp.net的主DNS服务器上把它们合并成一个大ASCII文件。
　　
　　f、在这台DNS服务器上，停止DNS服务。
　　
　　g、在\%SystemFiles%\System32\DNS中，用notepad打开文件jzlld.vicp.net.dns。、
　　
　　h、在额外的行中添加你把所有的Netlogon.dsn记录项合并成jzlld.vicp.net.dns这个文件时收集的SRV记录。
　　
　　i、保存这个文件。
　　
　　j、重新启动DNS服务。
　　
　　这台不支持动态工薪的DNS服务器以及它的任何辅助服务器现在可以支持AD了：）
　　
　　缺点：
　　
　　a、收集所有DC的Netlogon.dns文件需要做大量的工作。
　　
　　b、并不具有很好的动态性，如果删除DC或DC脱机都需要手工删除DNS上的的Netlogon.dns文件中的相应SRV记录。注释掉的------>微软的AD与非动态DNS(图)
　　微软的AD对DNS的要求可以总结为以下3点：（有点儿絮叨）
　　
　　a、在DNS名字空间中支持下划线，因为在AD中有些重要的子域需要在其名字中使用下划线。这一点在教程中没提。
　　
　　b、支持SRV记录，不用说为什么了。
　　
　　c、动态DNS（也可以使用不支持动态DNS，后面就有讲解）
　　
　　有的时候我们也可以采用一些其他公司的DNS产品来代替2000/2003的动态DNS服务。如支持SRV记录（RFC2782）和动态更新（RFC2136）的Linux系统上运行的BIND，或者Lucent公司的QIP DNS/DHCP系统。（后者没用过，不知道是个什么样儿，只在其他书籍中提过）但有的时候动态的DNS在某中情况中会给我们带来一些安全的隐患。AD与非动态DNS的结合实际上也是可行的。例如在以下文字中如果DNS支持SRV和下划线，但不支持动态DNS，仍然可以使用一个名字为Netlogon.dns的文件来实现AD。
　　
　　每台支持DDNS功能的计算机都会在DDNS中亲自写入一条自己的A记录。但是AD实际上需要依靠所有这些SRV记录，并且他们是由Netlogon服务写入区域文件的。每当重新启动一台DC或者重新启动Netlogon服务、或者过了一段时间没有更新的时候，Netlogon服务会与主DNS服务器联系，并注册自己的SRV记录。但DC上的Netlogon服务还做了其他的事情，它可以把这些SRV记录写入一个名为Netlogon.dns的ASCII文本文件。该文件存储在\Windows\System32\Config\中———进入任何一台DC，使用记事本可以查看该文件中有大量的SRV记录。
　　
　　如下图
　　

　　利用以上的说明就可以利用一台不支持动态升级的DNS实现支持AD。
　　
　　a、首先在DNS服务器上（不支持动态升级，如NT4.0）建立一个区域jzlld.vicp.net作为主要区域。将这个区域文件命名为jzlld.vicp.net.dns。
　　
　　b、为jzlld.vicp.net域中的每台DC输入A记录。
　　
　　c、进入jzlld.vicp.net域中的每台DC，然后启动它的Netlogon服务。
　　
　　d、把该DC上的\Windows\Syytem32\Config\Netlogon.dns文件放到一张软盘或者网络上。
　　
　　e、取得所有DC的Netlogon.dns文件后，在jzlld.vicp.net的主DNS服务器上把它们合并成一个大ASCII文件。
　　
　　f、在这台DNS服务器上，停止DNS服务。
　　
　　g、在\%SystemFiles%\System32\DNS中，用notepad打开文件jzlld.vicp.net.dns。、
　　
　　h、在额外的行中添加你把所有的Netlogon.dsn记录项合并成jzlld.vicp.net.dns这个文件时收集的SRV记录。
　　
　　i、保存这个文件。
　　
　　j、重新启动DNS服务。
　　
　　这台不支持动态工薪的DNS服务器以及它的任何辅助服务器现在可以支持AD了：）
　　
　　缺点：
　　
　　a、收集所有DC的Netlogon.dns文件需要做大量的工作。
　　
　　b、并不具有很好的动态性，如果删除DC或DC脱机都需要手工删除DNS上的的Netlogon.dns文件中的相应SRV记录。

---

作者: 童话    时间: 2006-5-22 09:30

问答之间：六个问答解除DNS疑惑
　　问：什么是“DNS”？其中文为何？
　　
　　答：DNS，简单地说，就是Domain Name System，翻成中文就是“域名系统”。
　　
　　问：DNS有什么用途？
　　
　　答：在一个TCP/IP架构的网络（例如Internet）环境中，DNS是一个非常重要而且常用的系统。主要的功能就是将人易于记忆的Domain Name与人不容易记忆的IP Address作转换。而上面执行DNS服务的这台网络主机，就可以称之为DNS Server。基本上，通常我们都认为DNS只是将Domain Name转换成IP Address，然后再使用所查到的IP Address去连接（俗称“正向解析”）。事实上，将IP Address转换成Domain Name的功能也是相当常使用到的，当login到一台Unix工作站时，工作站就会去做反查，找出你是从哪个地方连线进来的（俗称“逆向解析”）。
　　
　　问：DNS是怎么运作的？
　　
　　答：DNS是使用层的方式来运作的。例如：哈工大紫丁香站的Domain Name为bbs.hit.edu.cn，这个Domain Name当然不是凭空而来的，是从.edu.cn所分配下来的。.edu.cn又是从.cn授予（delegation）的。.cn是从哪里来的呢？答案是从“.”，也就是所谓的“根域”（root domain）来的。根领域已经是Domain Name的最上层。而“.”这层是由InterNIC（Internet Network Information Center，互联网信息中心）所管理。全世界的Domain Name就是这样，一层一层的授予下来。
　　
　　问：当我查一个Domain Name时，DNS是怎么查出它的IP的呢？
　　
　　答：举个例子，假设今天我们查的Domain Name（作一个dns query）为bbs.hit.edu.cn时，DNS Server会这么处理：
　　
　　(1) 你所用的电脑（可能是PC，也可能是工作站）送出一个问题给这台电脑所设定的DNS Server，提问：bbs.hit.edu.cn的IP是什么？
　　
　　(2) 这台DNS会先看看是不是在它的cache中，如果是，就丢出答案。如果不是，就从最上头查起。在DNS Server上面一定有设定“.”要跟谁问。所以，这个时候它就往“.”层的任何一台DNS（目前“.”有13台）问：.cn要问谁？
　　
　　(3) “.”层的DNS会回答.cn要向谁查（同时你用的DNS会cache起来这个答案）。
　　
　　(4) 接下来你所用的DNS就会向.cn这层的DNS问：.edu.cn要问谁？
　　
　　(5) .cn的这层就会回答.edu.cn要向谁查（同时你用的DNS也把这答案cache起来）。
　　
　　(6)直到bbs.hit.edu.cn回答：bbs.hit.edu.cn的IP是202.118.224.2（又cache起来）。
　　
　　经过了这么多的过程，终于得到了这个IP，接下来才能作进一步的连线。要注意的是，在每一层都会问一个问题，并且把答案记下来（cache起），而且还会忘掉（看该层的设定是要cache多久）。
　　
　　问：DNS要怎么设置？
　　
　　答：如果，只是要使用DNS，那只要在TCP/IP的网络属性中设置即可。设置的方法跟使用的操作系统有关。例如：Windows 9x在“控制面板”→“网络”→“TCP/IP”→“属性”中，找到DNS的部分再来设置。Unix在/etc/resolv.conf这个文件中设置（如果，要架设一台DNS Server，就不是在这里讨论的了）。
　　
　　问：哪一台 DNS 资料最新？
　　
　　答：如果你知道DNS是利用阶层架构运作的，那就应该知道，离你最近的DNS，就是最好的。注释掉的------>问答之间：六个问答解除DNS疑惑
　　问：什么是“DNS”？其中文为何？
　　
　　答：DNS，简单地说，就是Domain Name System，翻成中文就是“域名系统”。
　　
　　问：DNS有什么用途？
　　
　　答：在一个TCP/IP架构的网络（例如Internet）环境中，DNS是一个非常重要而且常用的系统。主要的功能就是将人易于记忆的Domain Name与人不容易记忆的IP Address作转换。而上面执行DNS服务的这台网络主机，就可以称之为DNS Server。基本上，通常我们都认为DNS只是将Domain Name转换成IP Address，然后再使用所查到的IP Address去连接（俗称“正向解析”）。事实上，将IP Address转换成Domain Name的功能也是相当常使用到的，当login到一台Unix工作站时，工作站就会去做反查，找出你是从哪个地方连线进来的（俗称“逆向解析”）。
　　
　　问：DNS是怎么运作的？
　　
　　答：DNS是使用层的方式来运作的。例如：哈工大紫丁香站的Domain Name为bbs.hit.edu.cn，这个Domain Name当然不是凭空而来的，是从.edu.cn所分配下来的。.edu.cn又是从.cn授予（delegation）的。.cn是从哪里来的呢？答案是从“.”，也就是所谓的“根域”（root domain）来的。根领域已经是Domain Name的最上层。而“.”这层是由InterNIC（Internet Network Information Center，互联网信息中心）所管理。全世界的Domain Name就是这样，一层一层的授予下来。
　　
　　问：当我查一个Domain Name时，DNS是怎么查出它的IP的呢？
　　
　　答：举个例子，假设今天我们查的Domain Name（作一个dns query）为bbs.hit.edu.cn时，DNS Server会这么处理：
　　
　　(1) 你所用的电脑（可能是PC，也可能是工作站）送出一个问题给这台电脑所设定的DNS Server，提问：bbs.hit.edu.cn的IP是什么？
　　
　　(2) 这台DNS会先看看是不是在它的cache中，如果是，就丢出答案。如果不是，就从最上头查起。在DNS Server上面一定有设定“.”要跟谁问。所以，这个时候它就往“.”层的任何一台DNS（目前“.”有13台）问：.cn要问谁？
　　
　　(3) “.”层的DNS会回答.cn要向谁查（同时你用的DNS会cache起来这个答案）。
　　
　　(4) 接下来你所用的DNS就会向.cn这层的DNS问：.edu.cn要问谁？
　　
　　(5) .cn的这层就会回答.edu.cn要向谁查（同时你用的DNS也把这答案cache起来）。
　　
　　(6)直到bbs.hit.edu.cn回答：bbs.hit.edu.cn的IP是202.118.224.2（又cache起来）。
　　
　　经过了这么多的过程，终于得到了这个IP，接下来才能作进一步的连线。要注意的是，在每一层都会问一个问题，并且把答案记下来（cache起），而且还会忘掉（看该层的设定是要cache多久）。
　　
　　问：DNS要怎么设置？
　　
　　答：如果，只是要使用DNS，那只要在TCP/IP的网络属性中设置即可。设置的方法跟使用的操作系统有关。例如：Windows 9x在“控制面板”→“网络”→“TCP/IP”→“属性”中，找到DNS的部分再来设置。Unix在/etc/resolv.conf这个文件中设置（如果，要架设一台DNS Server，就不是在这里讨论的了）。
　　
　　问：哪一台 DNS 资料最新？
　　
　　答：如果你知道DNS是利用阶层架构运作的，那就应该知道，离你最近的DNS，就是最好的。

---

作者: 童话    时间: 2006-5-22 09:31

DNS服务器工作原理
　　分布的信息
　　解决方案就是采用DNS服务器系统。与主机表不一样，DNS服务器不依赖一个大型映射文件，DNS服务器只包含有限的信息，因为他们知道到哪里能找到他们想知道的域的细节。当DNS服务器得到对某个主机的请求，而该请求的主机又并不在其缓冲内，那么DNS服务器只是知道了这件事然后去询问知道答案的“某计算机”。这台计算机是一种授权服务器，负责维护DNS信息。如果某台服务器在被询问到其域内的某个地址时它可以确定地指出该地址存在，那么这台服务器就是所谓的授权服务器。
　　
　　如果接触的服务器并不包含有关的域名信息，该服务器就会将请求传递给接触链路上更高级别的授权服务器，这样就形成了一系列查询直到最后找到需要的信息。实际上，这意味着请求可以被任意数量的服务器处理，在Internet上这种来来回回的行为每时每刻都在发生。最早发出请求的服务器将缓冲信息以满足未来的需求而无须向授权服务器再发请求。DNS服务器的管理员为这些信息设置了超时限制以避免缓冲中充满了名字请求的旧数据。
　　
　　DNS转换不会花费太多的时间，但它确实增加了你的请求到达远端计算机的时间。你可以自己做个快速测试（虽然很简单）：首先用域名，比如
www.microsoft.com
来访问对应的Web站点，然后用IP地址198.105.232.4再实验一下。如果你要这么做，则请务必关闭你的浏览器然后再重新打开以初始化新的会话；否则你不过是载入了页面的缓冲版本（记住装载页面的延迟原因可能来自许多因素，所以对结果要有所保留）。
　　
　　DNS服务的最常用软件是Berkeley Internet Name Domain，也就是BIND，它源自U.C. Berkeley但现在则由Internet Software Consortium.负责。其最新版本4.9.3包含了标准的 Unix版本和附加的Windows NT 端口。BIND提供了解析器和名字服务器软件，解析器做实际的查询工作而名字服务器则提供响应。BIND将名字服务器分成三个部分：主服务器包含了有关一个域的全部数据；次服务器则有效地从主服务器拷贝DNS数据库；唯缓冲服务器通过缓冲查询来建立例外的DNS数据库。只有主服务器和次服务器才被当作涉及特定域的授权服务器。
　　
　　要理解 DNS 服务器怎么操作就有必要理解域名层次本身。在这一层次的顶部是根域。这一域上的信息驻留在从整个Internet中所选的一些根服务器上。在根域下面是顶级域，也就是国家代码或机构代码。国家代码的例子有SG （新加坡）和CA （加拿大）等。而机构代码则包括众所周知的COM（商业机构）、EDU（教育机关）、GOV（政府机构）和NET（网络机构）等（注意在美国以外的顶级域通常是国家编码，但是基于美国的地点通常省略国家编码）。在顶级域下面是次级域（whitehouse.gov、microsoft.com、inforamp.net 等诸如此类），然后是第 3级域，等等等等向下以此类推。
　　
　　如果你想在美国建立域名，那么你必须联系网络信息中心NIC。在它同意你的请求以前，你首先要保证你想要的名字还没被使用，其次要保证目前至少有 2台服务器可以提供新域名的服务。当 NIC 最后同意请求时，它将承认你的次级域，并将指向该名字的指针放到顶级域所在的服务器内。例如，如果你请求域名mybiz.com，那么你必须首先让Internet上的2 台名字服务器提供信息服务（你的 ISP的服务器能做到这一点），然后NIC 将把 mybiz 放到COM 域服务器系统内，其指针将指向那2台特定服务器。
　　
　　一旦设置了适当的主域，你就可以增加所希望的任何数量的子域。你可能想要命名你的计算机为sales.mybiz.com，而另一台则被叫做techsupport.mybiz.com等等。这些工作可就不需要 NIC 的同意了，而且，事实上NIC也不管这事。但是，如果你想要任何人都能实际地访问你的子域，那么你最好将有关子域的信息尽快地放到上级域内。在特定的情况下，关于sales.mybiz.com 和 techsupport.mybiz.com 的IP信息必须放在mybiz.com服务器上。这一层次中的每台服务器都包含了一个DNS数据库，其入口被称作NS记录，每条这样的记录包含了域或子域的名字，此外还加上作为域或者子域服务器的主机的名字。在我们的例子中，我们将告诉根服务器它能在我们的 DNS 服务器上找到mybiz.com及其全部子域的信息，而这些信息则位于details.mybiz.com这台计算机上。
　　
　　现在我们来看看这一切是如何运作的。某所大学的某人在指向你的最新子域的网页上看见了一个链接 techsupport.mybiz.com。然后她点击该链接，于是她的本地DNS 服务器（很可能位于这所大学的某台计算机上）开始工作。首先，服务器搜索它自己的 DNS数据库以转换信息，但是，因为它以前从来没遇见过 techsupport.mybiz.com，所以服务器没有该域存在的记录而且不能解析IP地址。不过，它的 DNS 数据库包含了一个根服务器的地址（所有的 DNS 服务器必须设置该索引）。于是本地 DNS 服务器就到Internet上查询该根服务器。根服务器在其DNS 数据库里查找COM 顶级域，然后它用NS 记录回复该大学的 DNS 服务器，告诉它可以从details.mybiz.com 处查询到mybiz.com 的信息。大学的服务器就这样做了，而且从 details.mybiz.com那里知道了techsupport.mybiz.com 的对应IP 地址。在这一过程中最根本的阶段是，大学的DNS 服务器缓冲了该 NS 记录，结果下次该大学的任何人在需要涉及到mybiz.com、details.mybiz.com 、ortechsupport.mybiz.com等对应的IP地址转换时，相关信息在本地即可获得。
　　
　　正如其他的Internet协议一样，DNS由几个Internet的RFC（请求评论）规范（最初是RFC 882、883和973）。不过要理解DNS 服务器的工作原理最好的标准还是RFC 1035。你可以在Internet上的好几个地方找到RFC 1035，比如在
http://www.crynwr.com/crynwr/rfc1035/
就有一个不错的HTML 版本。正如你可能想到的那样，RFC具有相当的技术性，你不大可能会对超出DNS 服务器一般操作的细节感兴趣。但是如果你想做个服务器管理员，那么就记住 RFC吧。注释掉的------>DNS服务器工作原理
　　分布的信息
　　解决方案就是采用DNS服务器系统。与主机表不一样，DNS服务器不依赖一个大型映射文件，DNS服务器只包含有限的信息，因为他们知道到哪里能找到他们想知道的域的细节。当DNS服务器得到对某个主机的请求，而该请求的主机又并不在其缓冲内，那么DNS服务器只是知道了这件事然后去询问知道答案的“某计算机”。这台计算机是一种授权服务器，负责维护DNS信息。如果某台服务器在被询问到其域内的某个地址时它可以确定地指出该地址存在，那么这台服务器就是所谓的授权服务器。
　　
　　如果接触的服务器并不包含有关的域名信息，该服务器就会将请求传递给接触链路上更高级别的授权服务器，这样就形成了一系列查询直到最后找到需要的信息。实际上，这意味着请求可以被任意数量的服务器处理，在Internet上这种来来回回的行为每时每刻都在发生。最早发出请求的服务器将缓冲信息以满足未来的需求而无须向授权服务器再发请求。DNS服务器的管理员为这些信息设置了超时限制以避免缓冲中充满了名字请求的旧数据。
　　
　　DNS转换不会花费太多的时间，但它确实增加了你的请求到达远端计算机的时间。你可以自己做个快速测试（虽然很简单）：首先用域名，比如

www.microsoft.com

来访问对应的Web站点，然后用IP地址198.105.232.4再实验一下。如果你要这么做，则请务必关闭你的浏览器然后再重新打开以初始化新的会话；否则你不过是载入了页面的缓冲版本（记住装载页面的延迟原因可能来自许多因素，所以对结果要有所保留）。
　　
　　DNS服务的最常用软件是Berkeley Internet Name Domain，也就是BIND，它源自U.C. Berkeley但现在则由Internet Software Consortium.负责。其最新版本4.9.3包含了标准的 Unix版本和附加的Windows NT 端口。BIND提供了解析器和名字服务器软件，解析器做实际的查询工作而名字服务器则提供响应。BIND将名字服务器分成三个部分：主服务器包含了有关一个域的全部数据；次服务器则有效地从主服务器拷贝DNS数据库；唯缓冲服务器通过缓冲查询来建立例外的DNS数据库。只有主服务器和次服务器才被当作涉及特定域的授权服务器。
　　
　　要理解 DNS 服务器怎么操作就有必要理解域名层次本身。在这一层次的顶部是根域。这一域上的信息驻留在从整个Internet中所选的一些根服务器上。在根域下面是顶级域，也就是国家代码或机构代码。国家代码的例子有SG （新加坡）和CA （加拿大）等。而机构代码则包括众所周知的COM（商业机构）、EDU（教育机关）、GOV（政府机构）和NET（网络机构）等（注意在美国以外的顶级域通常是国家编码，但是基于美国的地点通常省略国家编码）。在顶级域下面是次级域（whitehouse.gov、microsoft.com、inforamp.net 等诸如此类），然后是第 3级域，等等等等向下以此类推。
　　
　　如果你想在美国建立域名，那么你必须联系网络信息中心NIC。在它同意你的请求以前，你首先要保证你想要的名字还没被使用，其次要保证目前至少有 2台服务器可以提供新域名的服务。当 NIC 最后同意请求时，它将承认你的次级域，并将指向该名字的指针放到顶级域所在的服务器内。例如，如果你请求域名mybiz.com，那么你必须首先让Internet上的2 台名字服务器提供信息服务（你的 ISP的服务器能做到这一点），然后NIC 将把 mybiz 放到COM 域服务器系统内，其指针将指向那2台特定服务器。
　　
　　一旦设置了适当的主域，你就可以增加所希望的任何数量的子域。你可能想要命名你的计算机为sales.mybiz.com，而另一台则被叫做techsupport.mybiz.com等等。这些工作可就不需要 NIC 的同意了，而且，事实上NIC也不管这事。但是，如果你想要任何人都能实际地访问你的子域，那么你最好将有关子域的信息尽快地放到上级域内。在特定的情况下，关于sales.mybiz.com 和 techsupport.mybiz.com 的IP信息必须放在mybiz.com服务器上。这一层次中的每台服务器都包含了一个DNS数据库，其入口被称作NS记录，每条这样的记录包含了域或子域的名字，此外还加上作为域或者子域服务器的主机的名字。在我们的例子中，我们将告诉根服务器它能在我们的 DNS 服务器上找到mybiz.com及其全部子域的信息，而这些信息则位于details.mybiz.com这台计算机上。
　　
　　现在我们来看看这一切是如何运作的。某所大学的某人在指向你的最新子域的网页上看见了一个链接 techsupport.mybiz.com。然后她点击该链接，于是她的本地DNS 服务器（很可能位于这所大学的某台计算机上）开始工作。首先，服务器搜索它自己的 DNS数据库以转换信息，但是，因为它以前从来没遇见过 techsupport.mybiz.com，所以服务器没有该域存在的记录而且不能解析IP地址。不过，它的 DNS 数据库包含了一个根服务器的地址（所有的 DNS 服务器必须设置该索引）。于是本地 DNS 服务器就到Internet上查询该根服务器。根服务器在其DNS 数据库里查找COM 顶级域，然后它用NS 记录回复该大学的 DNS 服务器，告诉它可以从details.mybiz.com 处查询到mybiz.com 的信息。大学的服务器就这样做了，而且从 details.mybiz.com那里知道了techsupport.mybiz.com 的对应IP 地址。在这一过程中最根本的阶段是，大学的DNS 服务器缓冲了该 NS 记录，结果下次该大学的任何人在需要涉及到mybiz.com、details.mybiz.com 、ortechsupport.mybiz.com等对应的IP地址转换时，相关信息在本地即可获得。
　　
　　正如其他的Internet协议一样，DNS由几个Internet的RFC（请求评论）规范（最初是RFC 882、883和973）。不过要理解DNS 服务器的工作原理最好的标准还是RFC 1035。你可以在Internet上的好几个地方找到RFC 1035，比如在

http://www.crynwr.com/crynwr/rfc1035/

就有一个不错的HTML 版本。正如你可能想到的那样，RFC具有相当的技术性，你不大可能会对超出DNS 服务器一般操作的细节感兴趣。但是如果你想做个服务器管理员，那么就记住 RFC吧。

---

作者: 童话    时间: 2006-5-22 09:31

Windows Server 2003 DNS服务安装篇(图)
　　导读-- DNS(Domain Name System，域名系统)是一种组织成层次结构的分布式数据库，里面包含有从DNS域名到各种数据类型(如IP地址)的映射
　　
　　“贵有恒，何必三更起五更勤;最无益，只怕一日曝十日寒。”前一段时间巴哥因为一些生活琐事而中止了对Server 2003经典服务的学习，现在终于将所有的事情都安排妥当，学习当然要继续……
　　
　　在前面几次学习中，老伟向巴哥介绍了部署文件服务、部署DHCP服务和部署WWW服务的基本方法，并且对每一种服务都做了进一步的技术延伸。这种安排让巴哥受益匪浅，既掌握了基础知识，又能有所提高。成功部署WWW服务后，局域网内部用户可以使用IP地址访问内部网站了。然而如果能够让内部用户像访问Internet上的网站一样使用友好的名称(如“
www.yesky.com
”)访问内部网站，那么肯定会更有意义。巴哥跟老伟谈起了自己的打算，老伟轻松地说:“这有何难，部署一台DNS服务器就可以实现你的想法了。”
　　
　　可是巴哥并不了解DNS是什么，于是老伟对DNS做了简短的解释。DNS(Domain Name System，域名系统)是一种组织成层次结构的分布式数据库，里面包含有从DNS域名到各种数据类型(如IP地址)的映射。这通常需要建立一种A(Address)记录，意为“主机记录”或“主机地址记录”，是所有DNS记录中最常见的一种。通过DNS，用户可以使用友好的名称查找计算机和服务在网络上的位置。DNS名称分为多个部分，各部分之间用点分隔。最左边的是主机名，其余部分是该主机所属的DNS域。因此一个DNS名称应该表示为“主机名+DNS域”的形式。
　　
　　小提示:要想成功部署DNS服务，运行Windows Serve 2003的计算机中必须拥有一个静态IP地址，只有这样才能让DNS客户端定位DNS服务器。另外如果希望该DNS服务器能够解析Internet上的域名，还需保证该DNS服务器能正常连接至Internet。
　　
　　一.安装DNS服务器
　　
　　默认情况下Windows Server 2003系统中没有安装DNS服务器，老伟所做的第一件工作就是安装DNS服务器。
　　
　　第1步，依次单击“开始/管理工具/配置您的服务器向导”，在打开的向导页中依次单击“下一步”按钮。配置向导自动检测所有网络连接的设置情况，若没有发现问题则进入“服务器角色”向导页。
　　
　　小提示:如果是第一次使用配置向导，则还会出现一个“配置选项”向导页，点选“自定义配置”单选框即可。
　　
　　第2步，在“服务器角色”列表中单击“DNS服务器”选项，并单击“下一步”按钮。打开“选择总结”向导页，如果列表中出现“安装DNS服务器”和“运行配置 DNS 服务器向导来配置DNS”，则直接单击“下一步”按钮。否则单击“上一步”按钮重新配置(如图1)。
　　
　

　　图1 选择“DNS服务器”角色
　　
　　第3步，向导开始安装DNS服务器，并且可能会提示插入Windows Server 2003的安装光盘或指定安装源文件(如图2)。
　　
　

　　图2 指定系统安装盘或安装源文件
　　
　　小提示:如果该服务器当前配置为自动获取IP地址，则“Windows 组件向导”的“正在配置组件”页面就会出现，提示用户使用静态IP地址配置DNS服务器。
　　
　　二.创建区域
　　
　　DNS服务器安装完成以后会自动打开“配置DNS服务器向导”对话框。用户可以在该向导的指引下创建区域。
　　
　　第1步，在“配置DNS服务器向导”的欢迎页面中单击“下一步”按钮，打开“选择配置操作”向导页。在默认情况下适合小型网络使用的“创建正向查找区域”单选框处于选中状态。而巴哥所管理的网络就不太大，因此保持默认选项并单击“下一步”按钮(如图3)。
　　
　

　　图3 选择配置操作
　　
　　第2步，打开“主服务器位置”向导页，如果所部署的DNS服务器是网络中的第一台DNS服务器，则应该保持“这台服务器维护该区域”单选框的选中状态，将该DNS服务器作为主DNS服务器使用，并单击“下一步”按钮(如图4)。
　　
　

　　图4 确定主服务器的位置
　　
　　第3步，打开“区域名称”向导页，在“区域名称”编辑框中键入一个能反映公司信息的区域名称(如“yesky.com”)，单击“下一步”按钮(如图5)。
　　
　

　　图5 填写区域名称
　　
　　第4步，在打开的“区域文件”向导页中已经根据区域名称默认填入了一个文件名。该文件是一个ASCII文本文件，里面保存着该区域的信息，默认情况下保存在“windowssystem32dns”文件夹中。保持默认值不变，单击“下一步”按钮(如图6)。
　　
　

　　图6 创建区域文件
　　
　　第5步，在打开的“动态更新”向导页中指定该DNS区域能够接受的注册信息更新类型。允许动态更新可以让系统自动地在DNS中注册有关信息，在实际应用中比较有用，因此点选“允许非安全和安全动态更新”单选框，单击“下一步”按钮(如图7)。
　　
　

　　图7 选择允许动态更新
　　
　　第6步，打开“转发器”向导页，保持“是，应当将查询转送到有下列IP地址的DNS服务器上”单选框的选中状态。在IP地址编辑框中键入ISP(或上级DNS服务器)提供的DNS服务器IP地址，单击“下一步”按钮(如图8)。
　　
　

　　图8 配置DNS转发
　　
　　小提示:通过配置“转发器”可以使内部用户在访问Internet上的站点时使用当地的ISP提供的DNS服务器进行域名解析。
　　
　　第7步，依次单击“完成/完成”按钮结束“yesky.com”区域的创建过程和DNS服务器的安装配置过程。
　　
　　三.创建域名
　　
　　老伟利用向导成功创建了“yesky.com”区域，可是内部用户还不能使用这个名称来访问内部站点，因为它还不是一个合格的域名。接着还需要在其基础上创建指向不同主机的域名才能提供域名解析服务。老伟准备创建一个用以访问Web站点的域名“
www.yesky.com
”，具体操作步骤如下:
　　
　　第1步，依次单击“开始”→“管理工具”→“DNS”菜单命令，打开“dnsmagt”控制台窗口。
　　
　　第2步，在左窗格中依次展开“ServerName”→“正向查找区域”目录。然后用鼠标右键单击“yesky.com”区域，执行快捷菜单中的“新建主机”命令(如图9)。
　　
　

　　图9 执行“新建主机”命令
　　
　　第3步，打开“新建主机”对话框，在“名称”编辑框中键入一个能代表该主机所提供服务的名称(本例键入“www”)。在“IP地址”编辑框中键入该主机的IP地址(如“192.168.0.198”)，单击“添加主机”按钮。很快就会提示已经成功创建了主机记录(如图10)。
　　
　

　　图10 创建主机记录
　　
　　最后单击“完成”按钮结束创建。
　　
　　四.设置DNS客户端
　　
　　尽管DNS服务器已经创建成供，并且创建了合适的域名，可是如果在客户机的浏览器中却无法使用“
www.yesky.com
”这样的域名访问网站。这是因为虽然已经有了DNS服务器，但客户机并不知道DNS服务器在哪里，因此不能识别用户输入的域名。用户必须手动设置DNS服务器的IP地址才行。在客户机“Internet协议(TCP/IP)属性”对话框中的“首选DMS服务器”编辑框中设置刚刚部署的DNS服务器的IP地址(本例为“192.168.0.1”，如图11)。
　　

　　图11 设置客户端DNS服务器地址
　　
　　然后再次使用域名访问网站，你会发现已经可以正常访问了。注释掉的------>Windows Server 2003 DNS服务安装篇(图)
　　导读-- DNS(Domain Name System，域名系统)是一种组织成层次结构的分布式数据库，里面包含有从DNS域名到各种数据类型(如IP地址)的映射
　　
　　“贵有恒，何必三更起五更勤;最无益，只怕一日曝十日寒。”前一段时间巴哥因为一些生活琐事而中止了对Server 2003经典服务的学习，现在终于将所有的事情都安排妥当，学习当然要继续……
　　
　　在前面几次学习中，老伟向巴哥介绍了部署文件服务、部署DHCP服务和部署WWW服务的基本方法，并且对每一种服务都做了进一步的技术延伸。这种安排让巴哥受益匪浅，既掌握了基础知识，又能有所提高。成功部署WWW服务后，局域网内部用户可以使用IP地址访问内部网站了。然而如果能够让内部用户像访问Internet上的网站一样使用友好的名称(如“

www.yesky.com

”)访问内部网站，那么肯定会更有意义。巴哥跟老伟谈起了自己的打算，老伟轻松地说:“这有何难，部署一台DNS服务器就可以实现你的想法了。”
　　
　　可是巴哥并不了解DNS是什么，于是老伟对DNS做了简短的解释。DNS(Domain Name System，域名系统)是一种组织成层次结构的分布式数据库，里面包含有从DNS域名到各种数据类型(如IP地址)的映射。这通常需要建立一种A(Address)记录，意为“主机记录”或“主机地址记录”，是所有DNS记录中最常见的一种。通过DNS，用户可以使用友好的名称查找计算机和服务在网络上的位置。DNS名称分为多个部分，各部分之间用点分隔。最左边的是主机名，其余部分是该主机所属的DNS域。因此一个DNS名称应该表示为“主机名+DNS域”的形式。
　　
　　小提示:要想成功部署DNS服务，运行Windows Serve 2003的计算机中必须拥有一个静态IP地址，只有这样才能让DNS客户端定位DNS服务器。另外如果希望该DNS服务器能够解析Internet上的域名，还需保证该DNS服务器能正常连接至Internet。
　　
　　一.安装DNS服务器
　　
　　默认情况下Windows Server 2003系统中没有安装DNS服务器，老伟所做的第一件工作就是安装DNS服务器。
　　
　　第1步，依次单击“开始/管理工具/配置您的服务器向导”，在打开的向导页中依次单击“下一步”按钮。配置向导自动检测所有网络连接的设置情况，若没有发现问题则进入“服务器角色”向导页。
　　
　　小提示:如果是第一次使用配置向导，则还会出现一个“配置选项”向导页，点选“自定义配置”单选框即可。
　　
　　第2步，在“服务器角色”列表中单击“DNS服务器”选项，并单击“下一步”按钮。打开“选择总结”向导页，如果列表中出现“安装DNS服务器”和“运行配置 DNS 服务器向导来配置DNS”，则直接单击“下一步”按钮。否则单击“上一步”按钮重新配置(如图1)。
　　
　

　　图1 选择“DNS服务器”角色
　　
　　第3步，向导开始安装DNS服务器，并且可能会提示插入Windows Server 2003的安装光盘或指定安装源文件(如图2)。
　　
　

　　图2 指定系统安装盘或安装源文件
　　
　　小提示:如果该服务器当前配置为自动获取IP地址，则“Windows 组件向导”的“正在配置组件”页面就会出现，提示用户使用静态IP地址配置DNS服务器。
　　
　　二.创建区域
　　
　　DNS服务器安装完成以后会自动打开“配置DNS服务器向导”对话框。用户可以在该向导的指引下创建区域。
　　
　　第1步，在“配置DNS服务器向导”的欢迎页面中单击“下一步”按钮，打开“选择配置操作”向导页。在默认情况下适合小型网络使用的“创建正向查找区域”单选框处于选中状态。而巴哥所管理的网络就不太大，因此保持默认选项并单击“下一步”按钮(如图3)。
　　
　

　　图3 选择配置操作
　　
　　第2步，打开“主服务器位置”向导页，如果所部署的DNS服务器是网络中的第一台DNS服务器，则应该保持“这台服务器维护该区域”单选框的选中状态，将该DNS服务器作为主DNS服务器使用，并单击“下一步”按钮(如图4)。
　　
　

　　图4 确定主服务器的位置
　　
　　第3步，打开“区域名称”向导页，在“区域名称”编辑框中键入一个能反映公司信息的区域名称(如“yesky.com”)，单击“下一步”按钮(如图5)。
　　
　

　　图5 填写区域名称
　　
　　第4步，在打开的“区域文件”向导页中已经根据区域名称默认填入了一个文件名。该文件是一个ASCII文本文件，里面保存着该区域的信息，默认情况下保存在“windowssystem32dns”文件夹中。保持默认值不变，单击“下一步”按钮(如图6)。
　　
　

　　图6 创建区域文件
　　
　　第5步，在打开的“动态更新”向导页中指定该DNS区域能够接受的注册信息更新类型。允许动态更新可以让系统自动地在DNS中注册有关信息，在实际应用中比较有用，因此点选“允许非安全和安全动态更新”单选框，单击“下一步”按钮(如图7)。
　　
　

　　图7 选择允许动态更新
　　
　　第6步，打开“转发器”向导页，保持“是，应当将查询转送到有下列IP地址的DNS服务器上”单选框的选中状态。在IP地址编辑框中键入ISP(或上级DNS服务器)提供的DNS服务器IP地址，单击“下一步”按钮(如图8)。
　　
　

　　图8 配置DNS转发
　　
　　小提示:通过配置“转发器”可以使内部用户在访问Internet上的站点时使用当地的ISP提供的DNS服务器进行域名解析。
　　
　　第7步，依次单击“完成/完成”按钮结束“yesky.com”区域的创建过程和DNS服务器的安装配置过程。
　　
　　三.创建域名
　　
　　老伟利用向导成功创建了“yesky.com”区域，可是内部用户还不能使用这个名称来访问内部站点，因为它还不是一个合格的域名。接着还需要在其基础上创建指向不同主机的域名才能提供域名解析服务。老伟准备创建一个用以访问Web站点的域名“

www.yesky.com

”，具体操作步骤如下:
　　
　　第1步，依次单击“开始”→“管理工具”→“DNS”菜单命令，打开“dnsmagt”控制台窗口。
　　
　　第2步，在左窗格中依次展开“ServerName”→“正向查找区域”目录。然后用鼠标右键单击“yesky.com”区域，执行快捷菜单中的“新建主机”命令(如图9)。
　　
　

　　图9 执行“新建主机”命令
　　
　　第3步，打开“新建主机”对话框，在“名称”编辑框中键入一个能代表该主机所提供服务的名称(本例键入“www”)。在“IP地址”编辑框中键入该主机的IP地址(如“192.168.0.198”)，单击“添加主机”按钮。很快就会提示已经成功创建了主机记录(如图10)。
　　
　

　　图10 创建主机记录
　　
　　最后单击“完成”按钮结束创建。
　　
　　四.设置DNS客户端
　　
　　尽管DNS服务器已经创建成供，并且创建了合适的域名，可是如果在客户机的浏览器中却无法使用“

www.yesky.com

”这样的域名访问网站。这是因为虽然已经有了DNS服务器，但客户机并不知道DNS服务器在哪里，因此不能识别用户输入的域名。用户必须手动设置DNS服务器的IP地址才行。在客户机“Internet协议(TCP/IP)属性”对话框中的“首选DMS服务器”编辑框中设置刚刚部署的DNS服务器的IP地址(本例为“192.168.0.1”，如图11)。
　　

　　图11 设置客户端DNS服务器地址
　　
　　然后再次使用域名访问网站，你会发现已经可以正常访问了。

---

作者: 童话    时间: 2006-5-22 09:32

图文并茂一步步教你配置DNS服务  
　　将DNS服务器添加到DNS控制台后，就可以设置服务器的属性，如只让DNS服务器侦听某些IP地址、在不能解析名称时使用转发程序、设置DNS服务器启动方法等。
　　
　　配置DNS服务器属性的操作步骤如下：
　　
　　(1) 在DNS控制台中选择想要配置属性的DNS服务器，然后单击“操作”→“属性”命令，打开如图4-18所示的“HWF属性”对话框。
　　
　
　　
图1　“HWF属性”对话框
　　
　　(2) 默认情况下，DNS服务器将侦听网络上所有配置为该服务器的IP地址的DNS通信信息。如果要将DNS限制为只侦听部分IP地址，在服务器属性对话框的“接口”选项卡选择“只在下列IP地址”单选按钮，并在其下的“IP地址”文本框中输入要侦听的IP地址，然后单击“添加”按钮将IP地址添加到侦听IP地址列表中。当指定了侦听地址后，DNS服务器将只侦听指定的IP地址，为这些地址提供名称服务，该功能多用在DNS服务器计算机有多个IP地址的情况下。
　　
　　(3) 如果DNS不能解析客户的名称请求，可以启用转发程序。这样在DNS服务器不能应答查询时，就将查询传送到指定的服务器中，由该服务器协助解析。要启用转发程序，可单击服务器属性对话框的“转发器”标签，切换到“转发器”选项卡，如图4-19所示。启用“启用转发器”复选框，然后在该复选框下的“IP地址”文本框中输入转发DNS服务器的IP地址，并单击“添加”按钮将其添加到转发服务器列表中。通过在“转发超时”文本框中输入以秒为单位的时间，还可以改变转发超时的时间。
　　
　
　　
图2 “转发器”选项卡
　　
　　(4) 默认情况下，在刚启动DNS服务器时，使用保存在Windows 2000注册表中的信息启动并初始化DNS服务。用户还可以配置DNS服务器从Boot.dns文件启动或从域控制器启动。
　　
　　注释：
　　
　　要从文件启动，Boot.dns文件必须位于计算机的\Winnt\System32\Dns文件夹中。
　　
　　(5) DNS服务器支持3种检查所收到的DNS名称的方式：严格的RFC(ANSI)、非RFC(ANSI)和多字节(UTF8)。其中，“严格的RFC”方法将强制服务器严格地将所有DNS名称改为兼容的RFC名；“非RFC”方式允许DNS服务器使用不与RFC兼容的名称；“多字节”方法允许使用Unicode 8的名称转换成DNS服务器使用的编码方案。默认情况下，服务器使用“非RFC”方式来检查DNS名称，该方法允许DNS服务器接收并处理使用标准ANSI编码字符的DNS名称，能与其他DNS服务器更好地协同工作。用户也可以通过在“高级”选项卡的“名称检查”下拉列表框中选择其他名称检查方案如图4-20所示。
　　
　
　　
图3　“高级”选项卡
　　
　　技巧：
　　
　　如果要停用DNS服务器的递归查询，在“高级”选项卡的“服务器选项”列表框中选择“停用递归”列表项。
　　
　　(6) 如果要设置DNS服务器寻找的其他DNS服务器，单击服务器属性对话框的“根目录提示”选项卡，如图4-21所示。单击“添加”按钮并输入DNS服务器的名称与IP地址。
　　
　
　　
图4 “根目录提示”选项卡
　　
　　(7) 因为启用调试日志记录会严重影响DNS服务器的性能，默认时，DNS服务器关闭所有调试日志记录。用户可以手工启用某些调试日志记录，只要打开服务器属性对话框的“日志”选项卡，并在“调试日志记录选项”列表框中选择要调试的日志记录即可，如图4-22所示。
　　
　
　　
图5　“日志”选项卡
　　
　　技巧：
　　
　　要关闭所有调试日志记录，单击“日志”选项卡的“复位成默认值”按钮即可。
　　
　　(8) 用户可以测试DNS服务器的简单查询和递归查询。单击“监视”标签，切换到如图4-23所示的“监视”选项卡，分别启用“对此DNS服务器的简单查询”或“对此DNS服务器的递归查询”复选框，并单击“立即测试”按钮，即可在“测试结果”列表框中查看测试结果。
　　
　　
图6　“监视”选项卡
　　
　　(9) 如果要让DNS服务器自动测试，首先选择要进行自动测试的类型(简单查询或递归查询)，然后启用“自动测试”复选框，并在其下的“测试间隔”文本框中输入定期测试间隔的时间。
　　
　　技巧：
　　
　　通常，DNS数据库的变化在事先定义的时间间隔或服务器关闭时进行，用户也可以手工更新数据库文件，方法是选择要更新的服务器，执行“操作”→“更新服务器数据文件”命令。注释掉的------>图文并茂一步步教你配置DNS服务  
　　将DNS服务器添加到DNS控制台后，就可以设置服务器的属性，如只让DNS服务器侦听某些IP地址、在不能解析名称时使用转发程序、设置DNS服务器启动方法等。
　　
　　配置DNS服务器属性的操作步骤如下：
　　
　　(1) 在DNS控制台中选择想要配置属性的DNS服务器，然后单击“操作”→“属性”命令，打开如图4-18所示的“HWF属性”对话框。
　　
　
　　
图1　“HWF属性”对话框
　　
　　(2) 默认情况下，DNS服务器将侦听网络上所有配置为该服务器的IP地址的DNS通信信息。如果要将DNS限制为只侦听部分IP地址，在服务器属性对话框的“接口”选项卡选择“只在下列IP地址”单选按钮，并在其下的“IP地址”文本框中输入要侦听的IP地址，然后单击“添加”按钮将IP地址添加到侦听IP地址列表中。当指定了侦听地址后，DNS服务器将只侦听指定的IP地址，为这些地址提供名称服务，该功能多用在DNS服务器计算机有多个IP地址的情况下。
　　
　　(3) 如果DNS不能解析客户的名称请求，可以启用转发程序。这样在DNS服务器不能应答查询时，就将查询传送到指定的服务器中，由该服务器协助解析。要启用转发程序，可单击服务器属性对话框的“转发器”标签，切换到“转发器”选项卡，如图4-19所示。启用“启用转发器”复选框，然后在该复选框下的“IP地址”文本框中输入转发DNS服务器的IP地址，并单击“添加”按钮将其添加到转发服务器列表中。通过在“转发超时”文本框中输入以秒为单位的时间，还可以改变转发超时的时间。
　　
　
　　
图2 “转发器”选项卡
　　
　　(4) 默认情况下，在刚启动DNS服务器时，使用保存在Windows 2000注册表中的信息启动并初始化DNS服务。用户还可以配置DNS服务器从Boot.dns文件启动或从域控制器启动。
　　
　　注释：
　　
　　要从文件启动，Boot.dns文件必须位于计算机的\Winnt\System32\Dns文件夹中。
　　
　　(5) DNS服务器支持3种检查所收到的DNS名称的方式：严格的RFC(ANSI)、非RFC(ANSI)和多字节(UTF8)。其中，“严格的RFC”方法将强制服务器严格地将所有DNS名称改为兼容的RFC名；“非RFC”方式允许DNS服务器使用不与RFC兼容的名称；“多字节”方法允许使用Unicode 8的名称转换成DNS服务器使用的编码方案。默认情况下，服务器使用“非RFC”方式来检查DNS名称，该方法允许DNS服务器接收并处理使用标准ANSI编码字符的DNS名称，能与其他DNS服务器更好地协同工作。用户也可以通过在“高级”选项卡的“名称检查”下拉列表框中选择其他名称检查方案如图4-20所示。
　　
　
　　
图3　“高级”选项卡
　　
　　技巧：
　　
　　如果要停用DNS服务器的递归查询，在“高级”选项卡的“服务器选项”列表框中选择“停用递归”列表项。
　　
　　(6) 如果要设置DNS服务器寻找的其他DNS服务器，单击服务器属性对话框的“根目录提示”选项卡，如图4-21所示。单击“添加”按钮并输入DNS服务器的名称与IP地址。
　　
　
　　
图4 “根目录提示”选项卡
　　
　　(7) 因为启用调试日志记录会严重影响DNS服务器的性能，默认时，DNS服务器关闭所有调试日志记录。用户可以手工启用某些调试日志记录，只要打开服务器属性对话框的“日志”选项卡，并在“调试日志记录选项”列表框中选择要调试的日志记录即可，如图4-22所示。
　　
　
　　
图5　“日志”选项卡
　　
　　技巧：
　　
　　要关闭所有调试日志记录，单击“日志”选项卡的“复位成默认值”按钮即可。
　　
　　(8) 用户可以测试DNS服务器的简单查询和递归查询。单击“监视”标签，切换到如图4-23所示的“监视”选项卡，分别启用“对此DNS服务器的简单查询”或“对此DNS服务器的递归查询”复选框，并单击“立即测试”按钮，即可在“测试结果”列表框中查看测试结果。
　　
　　
图6　“监视”选项卡
　　
　　(9) 如果要让DNS服务器自动测试，首先选择要进行自动测试的类型(简单查询或递归查询)，然后启用“自动测试”复选框，并在其下的“测试间隔”文本框中输入定期测试间隔的时间。
　　
　　技巧：
　　
　　通常，DNS数据库的变化在事先定义的时间间隔或服务器关闭时进行，用户也可以手工更新数据库文件，方法是选择要更新的服务器，执行“操作”→“更新服务器数据文件”命令。

---

作者: 童话    时间: 2006-5-22 09:33

分离的DNS服务及其部署（组图）
　　内容概要：当你对Internet发布了内部网络中的服务时，可能你的用户会有抱怨：远程客户可以正常的访问你发布到Internet的服务，但是位于内部网络的用户却不能正常的访问这些服务。这个时候，你可能需要在你的网络中部署分离的DNS服务。
　　
　　当你对Internet发布了内部网络中的服务时，可能你的用户会有抱怨：远程客户可以正常的访问你发布到Internet的服务，但是位于内部网络的用户却不能访问这些服务，Why？
　　
　　如下图所示，内部网络地址范围为10.2.1.0/24，在ISA上对Internet发布了内部网络中Web服务器（10.2.1.5）上的Web站点
www.isacn.org
，在Internet的DNS服务器上解析
www.isacn.org
为ISA服务器的外部IP地址39.1.1.8。
　　
　

　　此时，外部Internet上的客户（39.1.1.9）可以正常的访问ISA防火墙上发布的Web站点
www.isacn.org
，
　　
　

　　但是内部网络中的SNat客户（10.2.1.9）却不可以，
　　
　

　　为什么呢？
　　
　　内部网络中的SNat客户（10.2.1.9）和外部的客户（39.1.1.9）使用的是相同的DNS服务器（39.1.1.9），当内部的SNat客户（10.2.1.9）解析域名
www.isacn.org
时，结果和外部客户（39.1.1.9）一样，是ISA防火墙的外部接口IP地址39.1.1.8。于是，内部SNat客户（10.2.1.9）向ISA防火墙的外部接口（39.1.1.8）发起连接，当ISA防火墙接收到此连接请求时，会根据发布规则的设置转发给内部网络中的Web服务器（10.2.1.5）。
　　
　　问题的关键在于，此时Web服务器（10.2.1.5）直接对SNat客户（10.2.1.9）的连接请求发出响应。ISA防火墙转发给Web服务器的连接请求的源地址是内部SNat客户的IP地址（10.2.1.9），Web服务器（10.2.1.5）识别出此IP地址（10.2.1.9）和自己位于相同的子网内，所以直接向此IP地址发送连接响应。但是Snat客户计算机（10.2.1.9）会丢弃Web服务器（10.2.1.5）直接发送给它的连接响应，因为它的连接请求是发送到ISA防火墙的外部IP地址（39.1.1.8）而不是Web服务器的IP地址（10.2.1.5）。对于Snat客户计算机而言，Web服务器发送给它的连接响应不是它发起的，所以它会丢弃此连接响应。
　　
　　解决此问题的办法有两种：
　　
　　第一种方法是在ISA防火墙的服务发布规则中，设置连接请求显示为从ISA防火墙发起，如下图所示：
　　
　

　　但是这样会导致两个问题：
　　
　　被访问的服务器上的日志记录中的客户IP地址全部为ISA防火墙，这样不能做日志分析和统计；
　　
　　出现了网络访问回环，这样会极大的降低ISA防火墙的性能；
　　
　　所以，不推荐使用此办法。
　　
　　第二种方法就是使用分离的DNS服务（Split dns）。顾名思义，分离的DNS服务就是为外部客户和内部客户分别使用不同的DNS服务。对于外部的客户，使用Internet上的DNS服务，解析域名到ISA防火墙的外部接口的IP地址上；而对于内部客户，使用内部网络中的DNS服务，将此域名解析到内部网络中对应的服务器IP地址上，这样当内部网络中的客户访问此服务时，就不再需要通过ISA防火墙进行中转而直接进行访问。
　　
　　下图中所示就是分离的DNS服务结构，在内部网络中，增加了一台DNS服务器，并且配置内部网络中的客户使用此DNS服务；
　　
　

　　此时，通过将名字解析为对应服务器的内部网络中的IP地址，内部网络中的客户就可以正常的访问内部网络中的服务了。
　　

注释掉的------>分离的DNS服务及其部署（组图）
　　内容概要：当你对Internet发布了内部网络中的服务时，可能你的用户会有抱怨：远程客户可以正常的访问你发布到Internet的服务，但是位于内部网络的用户却不能正常的访问这些服务。这个时候，你可能需要在你的网络中部署分离的DNS服务。
　　
　　当你对Internet发布了内部网络中的服务时，可能你的用户会有抱怨：远程客户可以正常的访问你发布到Internet的服务，但是位于内部网络的用户却不能访问这些服务，Why？
　　
　　如下图所示，内部网络地址范围为10.2.1.0/24，在ISA上对Internet发布了内部网络中Web服务器（10.2.1.5）上的Web站点

www.isacn.org

，在Internet的DNS服务器上解析

www.isacn.org

为ISA服务器的外部IP地址39.1.1.8。
　　
　

　　此时，外部Internet上的客户（39.1.1.9）可以正常的访问ISA防火墙上发布的Web站点

www.isacn.org

，
　　
　

　　但是内部网络中的SNat客户（10.2.1.9）却不可以，
　　
　

　　为什么呢？
　　
　　内部网络中的SNat客户（10.2.1.9）和外部的客户（39.1.1.9）使用的是相同的DNS服务器（39.1.1.9），当内部的SNat客户（10.2.1.9）解析域名

www.isacn.org

时，结果和外部客户（39.1.1.9）一样，是ISA防火墙的外部接口IP地址39.1.1.8。于是，内部SNat客户（10.2.1.9）向ISA防火墙的外部接口（39.1.1.8）发起连接，当ISA防火墙接收到此连接请求时，会根据发布规则的设置转发给内部网络中的Web服务器（10.2.1.5）。
　　
　　问题的关键在于，此时Web服务器（10.2.1.5）直接对SNat客户（10.2.1.9）的连接请求发出响应。ISA防火墙转发给Web服务器的连接请求的源地址是内部SNat客户的IP地址（10.2.1.9），Web服务器（10.2.1.5）识别出此IP地址（10.2.1.9）和自己位于相同的子网内，所以直接向此IP地址发送连接响应。但是Snat客户计算机（10.2.1.9）会丢弃Web服务器（10.2.1.5）直接发送给它的连接响应，因为它的连接请求是发送到ISA防火墙的外部IP地址（39.1.1.8）而不是Web服务器的IP地址（10.2.1.5）。对于Snat客户计算机而言，Web服务器发送给它的连接响应不是它发起的，所以它会丢弃此连接响应。
　　
　　解决此问题的办法有两种：
　　
　　第一种方法是在ISA防火墙的服务发布规则中，设置连接请求显示为从ISA防火墙发起，如下图所示：
　　
　

　　但是这样会导致两个问题：
　　
　　被访问的服务器上的日志记录中的客户IP地址全部为ISA防火墙，这样不能做日志分析和统计；
　　
　　出现了网络访问回环，这样会极大的降低ISA防火墙的性能；
　　
　　所以，不推荐使用此办法。
　　
　　第二种方法就是使用分离的DNS服务（Split dns）。顾名思义，分离的DNS服务就是为外部客户和内部客户分别使用不同的DNS服务。对于外部的客户，使用Internet上的DNS服务，解析域名到ISA防火墙的外部接口的IP地址上；而对于内部客户，使用内部网络中的DNS服务，将此域名解析到内部网络中对应的服务器IP地址上，这样当内部网络中的客户访问此服务时，就不再需要通过ISA防火墙进行中转而直接进行访问。
　　
　　下图中所示就是分离的DNS服务结构，在内部网络中，增加了一台DNS服务器，并且配置内部网络中的客户使用此DNS服务；
　　
　

　　此时，通过将名字解析为对应服务器的内部网络中的IP地址，内部网络中的客户就可以正常的访问内部网络中的服务了。
　　

---

作者: 童话    时间: 2006-5-22 09:34

Windows Server 2003下DNS架设攻略
　　DNS简单地说，就是Domain Name System（域名系统）。在一个以TCP/IP协议为主的网络环境中，DNS是一个非常重要而且常用的系统。其主要的功能就是将我们容易记忆的网址域名（Domain Name）与不容易记忆的IP地址作自动解析互换。有过windows操作DNS配置的朋友也一定会用windows2003的DNS，而如果你还处在学习阶段，那本文可以起到指导的作用。
　　
　　一、 环境假设：
　　
　　假设我们要建立一台应用于企业以下情况的主域名服务器
　　
　　企业IP地址网段为：192.168.0.1~192.168.0.254
　　主域服务器IP地址为：192.168.0.1
　　主机名为：dns.firstserver.com
　　等待解析的服务有：
　　
　　
www.firstserver.com
(IP地址指定为192.168.0.2) ----Web服务器
　　Mail.firstserver.com (IP地址指定为192.168.0.3) ---E-Mai
　　Ftp.firstserver.com（IP地址指定为192.168.0.4）---FTP服务器
　　
　　二、 正向域名解析服务的实现。
　　
　　Windows2003默认已安装DNS服务，依次选择“开始”－“程序”－“管理工具”－“DNS”打开。
　　
　　一般我们就分别创建正向和反向查找区域，因为DNS不光是域名到IP的解析（正向查找），也包括IP到域名（反向查找）。
　　
　　1． 建立“firstserver.com”主区域名。
　　在本机服务器名上点右键，选择“新建区域”，打开向导窗口后点下一步；在“区域类型”窗口里选择“主要区域”；再接着勾选“正向查找区域”点下一步进入如图1所示的“区域名称”窗口，此步是要输入欲解析的区域名，即www后面部分。
　　
　

　　接着会提示你创建区域文件，我们按其默认文件名点下一步；在“动态更新”窗口中，考虑到此DNS服务的安全性，一般按其默认“不允许动态更新”，当然如果已在服务端加装了硬件防火墙等安全措施，则可以选择“允许动态更新”；最后单击完成即可。
　　
　　2． 新建主机。
　　
　　在管理界面左框内右击刚才建立的区域名firstserver，选择“新建主机”；在如下图所示“新建主机”窗口的名称栏输入www，IP地址改为本文开头例中的WEB服务器地址192.168.0.2，单击“添加主机”返回管理界面，即可看到已成功地创建了主机地址记录“
www.firstserver.com
”。
　　
　

　　3． 其它相关服务地址记录的实现。
　　
　　除了WWW服务，本文开头例中还有FTP及Mail服务。有两种方法继续添加其它服务：
　　方法一：在左边树形目录里右击刚建好的主域名firstserver.com，选择“新建别名（CNAME）”；如下图所示，在“别名”栏内输入mail、FTP等服务名；在目标主机的完全合格域名一栏输入
www.firstserver.com
即可。此方法意为其它相关服务与WWW服务共用192.168.0.2这个IP地址。
　　
　

　　方法二：即分别为每种服务建立不同的IP地址指向，本文开头例中也是这样。即依照建立WWW服务的步骤进行，再输入相对应的IP地址就行了。下图所示中，mail服务即用别名方式建立，FTP服务跟建立WWW服务一样采用“新建主机”而建。
　　
　

　　
　　三、 反向查找的实现。
　　
　　即实现IP地址到域名的转换。基本建立步骤跟正向查找类似，在出现如下图所示窗口时，“网络ID”一栏是要输入欲建立反向查找的服务器网段，本例为192.168.0.X。其它步骤按前面所述进行后即可完成。在管理界面左边树形目录里，即可看到反向查找区域一栏已多了“0.168.192.in-addr.arpa.dns”的区域文件名。
　　
　

　　接着在此名称上点右键选“新建指针（PTR）”，在如下图所示窗口里，“主机IP号”就是IP地址的最后一位，如本例中的WWW服务IP地址最后一位为2；“主机名”一栏通过点击“浏览”选择在正向查找区域中建立的主机记录“
www.firstsever.com
”，点确定即可。通过反向区域名的建立，简单的讲在浏览器里输入192.168.0.2也可到达
www.firstsever.com
。
　　

　　最后提示：请大家记住，DNS服务器只提供域名和IP地址的映射工作，而那个域名究竟用来做什么，是由其对应的IP地址所绑定的相关服务器（如FTP、E-mail等）来决定的。比如我们在本机已安装上例中的E-mail服务器并指定了其IP地址指向“192.168.0.3”，如果我们在DNS服务器中一同将其它相关服务的域名如ftp.firstsever.com等都指向此IP地址，即是说我们不管是用此IP地址或此三个域名中的任何一个都可以访问到这个E-mail服务器！
　　
　　另外，上文讲的都是建立在局域网中的DNS过程。而如果我们要建立互联网上域名的DNS映射记录的话，在DNS服务器中配置的所有域名都要是在internet中经过注册的合法域名，且要有一个固定的公网IP地址。只要满足这两个条件，其它步骤就跟在局域网的配置一样了注释掉的------>Windows Server 2003下DNS架设攻略
　　DNS简单地说，就是Domain Name System（域名系统）。在一个以TCP/IP协议为主的网络环境中，DNS是一个非常重要而且常用的系统。其主要的功能就是将我们容易记忆的网址域名（Domain Name）与不容易记忆的IP地址作自动解析互换。有过windows操作DNS配置的朋友也一定会用windows2003的DNS，而如果你还处在学习阶段，那本文可以起到指导的作用。
　　
　　一、 环境假设：
　　
　　假设我们要建立一台应用于企业以下情况的主域名服务器
　　
　　企业IP地址网段为：192.168.0.1~192.168.0.254
　　主域服务器IP地址为：192.168.0.1
　　主机名为：dns.firstserver.com
　　等待解析的服务有：
　　
　　

www.firstserver.com

(IP地址指定为192.168.0.2) ----Web服务器
　　Mail.firstserver.com (IP地址指定为192.168.0.3) ---E-Mai
　　Ftp.firstserver.com（IP地址指定为192.168.0.4）---FTP服务器
　　
　　二、 正向域名解析服务的实现。
　　
　　Windows2003默认已安装DNS服务，依次选择“开始”－“程序”－“管理工具”－“DNS”打开。
　　
　　一般我们就分别创建正向和反向查找区域，因为DNS不光是域名到IP的解析（正向查找），也包括IP到域名（反向查找）。
　　
　　1． 建立“firstserver.com”主区域名。
　　在本机服务器名上点右键，选择“新建区域”，打开向导窗口后点下一步；在“区域类型”窗口里选择“主要区域”；再接着勾选“正向查找区域”点下一步进入如图1所示的“区域名称”窗口，此步是要输入欲解析的区域名，即www后面部分。
　　
　

　　接着会提示你创建区域文件，我们按其默认文件名点下一步；在“动态更新”窗口中，考虑到此DNS服务的安全性，一般按其默认“不允许动态更新”，当然如果已在服务端加装了硬件防火墙等安全措施，则可以选择“允许动态更新”；最后单击完成即可。
　　
　　2． 新建主机。
　　
　　在管理界面左框内右击刚才建立的区域名firstserver，选择“新建主机”；在如下图所示“新建主机”窗口的名称栏输入www，IP地址改为本文开头例中的WEB服务器地址192.168.0.2，单击“添加主机”返回管理界面，即可看到已成功地创建了主机地址记录“

www.firstserver.com

”。
　　
　

　　3． 其它相关服务地址记录的实现。
　　
　　除了WWW服务，本文开头例中还有FTP及Mail服务。有两种方法继续添加其它服务：
　　方法一：在左边树形目录里右击刚建好的主域名firstserver.com，选择“新建别名（CNAME）”；如下图所示，在“别名”栏内输入mail、FTP等服务名；在目标主机的完全合格域名一栏输入

www.firstserver.com

即可。此方法意为其它相关服务与WWW服务共用192.168.0.2这个IP地址。
　　
　

　　方法二：即分别为每种服务建立不同的IP地址指向，本文开头例中也是这样。即依照建立WWW服务的步骤进行，再输入相对应的IP地址就行了。下图所示中，mail服务即用别名方式建立，FTP服务跟建立WWW服务一样采用“新建主机”而建。
　　
　

　　
　　三、 反向查找的实现。
　　
　　即实现IP地址到域名的转换。基本建立步骤跟正向查找类似，在出现如下图所示窗口时，“网络ID”一栏是要输入欲建立反向查找的服务器网段，本例为192.168.0.X。其它步骤按前面所述进行后即可完成。在管理界面左边树形目录里，即可看到反向查找区域一栏已多了“0.168.192.in-addr.arpa.dns”的区域文件名。
　　
　

　　接着在此名称上点右键选“新建指针（PTR）”，在如下图所示窗口里，“主机IP号”就是IP地址的最后一位，如本例中的WWW服务IP地址最后一位为2；“主机名”一栏通过点击“浏览”选择在正向查找区域中建立的主机记录“

www.firstsever.com

”，点确定即可。通过反向区域名的建立，简单的讲在浏览器里输入192.168.0.2也可到达

www.firstsever.com

。
　　

　　最后提示：请大家记住，DNS服务器只提供域名和IP地址的映射工作，而那个域名究竟用来做什么，是由其对应的IP地址所绑定的相关服务器（如FTP、E-mail等）来决定的。比如我们在本机已安装上例中的E-mail服务器并指定了其IP地址指向“192.168.0.3”，如果我们在DNS服务器中一同将其它相关服务的域名如ftp.firstsever.com等都指向此IP地址，即是说我们不管是用此IP地址或此三个域名中的任何一个都可以访问到这个E-mail服务器！
　　
　　另外，上文讲的都是建立在局域网中的DNS过程。而如果我们要建立互联网上域名的DNS映射记录的话，在DNS服务器中配置的所有域名都要是在internet中经过注册的合法域名，且要有一个固定的公网IP地址。只要满足这两个条件，其它步骤就跟在局域网的配置一样了

---

作者: 童话    时间: 2006-5-22 09:34

详细讲解如何谨慎架设DNS服务器
　　由于企业办公需要，笔者在局域网内部署了DNS服务器，所有客户机上的DNS服务器地址参数都设置为该服务器的IP地址。并且还在DNS服务器中新建了一个名为“rtj.net”的域，供企业员工访问内部网站需要。
　　
　　但经测试，用户可以正常访问企业内部网，但访问Internet上的网站时就会出现问题。笔者将客户机的DNS服务器地址修改为公网DNS服务器的IP地址后，就可访问Internet上的网站，但又不能访问企业内部网站了。然而，为了节省经费，“rtj.net”域并没有在公网的DNS服务器上进行注册，只能靠企业网内部DNS服务器进行解析，难道没有一个两全其美的办法吗?
　　
　　分析
　　DNS（Domain Name Server）是一个巨大的分布式数据库，它通过域名服务器提供一个指定域的信息来实现域名的解析，域名服务器负责将域名转换为IP地址。将Internet中的所有域名信息都放在同一台计算机中是不可能的，因此DNS系统采用树形结构，将不同层次域的域名信息分别存储在不同的域名服务器中，最高层为根域服务器。
　　
　　如要解析名为
www.fyssz.net
的域名，客户机首先要与本地域名服务器联系，如果查不到该域名信息，本地域名服务器会向根域服务器发送一个请求，查询
www.fyssz.net
的IP地址，根域服务器发现该域名不属于自己的管辖区，而是属于net下的一个域，它就会通知域名服务器联系net域的域名服务器以获得更多的信息，并发给本地域名服务器一个所有net域名服务器的地址列表。接着本地域名服务器会继续向这些服务器发送解析请求，直到找到fyssz.net域所属的域名服务器并将
www.fyssz.net
的IP地址信息返回给客户。
　　
　　由于笔者在局域网内的DNS服务器中创建了根域和net域，所以当DNS服务器收到不能解析的域名时，会错误地认为自己就是根域服务器，而无法找到Internet中真正的根域服务器，因此就会出现客户机不能使用域名访问网站的问题。
　　
　　解决办法
　　首先在DNS服务器中删除根域、net域和rtj.net域，然后再重新创建一个rtj.net域，创建这个域是为了让客户机能够正常访问企业内部网站。同时注意除了企业内部网站所必须的域以外，应该尽量少创建域，防止DNS服务器错误解析域名或无法解析。注释掉的------>详细讲解如何谨慎架设DNS服务器
　　由于企业办公需要，笔者在局域网内部署了DNS服务器，所有客户机上的DNS服务器地址参数都设置为该服务器的IP地址。并且还在DNS服务器中新建了一个名为“rtj.net”的域，供企业员工访问内部网站需要。
　　
　　但经测试，用户可以正常访问企业内部网，但访问Internet上的网站时就会出现问题。笔者将客户机的DNS服务器地址修改为公网DNS服务器的IP地址后，就可访问Internet上的网站，但又不能访问企业内部网站了。然而，为了节省经费，“rtj.net”域并没有在公网的DNS服务器上进行注册，只能靠企业网内部DNS服务器进行解析，难道没有一个两全其美的办法吗?
　　
　　分析
　　DNS（Domain Name Server）是一个巨大的分布式数据库，它通过域名服务器提供一个指定域的信息来实现域名的解析，域名服务器负责将域名转换为IP地址。将Internet中的所有域名信息都放在同一台计算机中是不可能的，因此DNS系统采用树形结构，将不同层次域的域名信息分别存储在不同的域名服务器中，最高层为根域服务器。
　　
　　如要解析名为

www.fyssz.net

的域名，客户机首先要与本地域名服务器联系，如果查不到该域名信息，本地域名服务器会向根域服务器发送一个请求，查询

www.fyssz.net

的IP地址，根域服务器发现该域名不属于自己的管辖区，而是属于net下的一个域，它就会通知域名服务器联系net域的域名服务器以获得更多的信息，并发给本地域名服务器一个所有net域名服务器的地址列表。接着本地域名服务器会继续向这些服务器发送解析请求，直到找到fyssz.net域所属的域名服务器并将

www.fyssz.net

的IP地址信息返回给客户。
　　
　　由于笔者在局域网内的DNS服务器中创建了根域和net域，所以当DNS服务器收到不能解析的域名时，会错误地认为自己就是根域服务器，而无法找到Internet中真正的根域服务器，因此就会出现客户机不能使用域名访问网站的问题。
　　
　　解决办法
　　首先在DNS服务器中删除根域、net域和rtj.net域，然后再重新创建一个rtj.net域，创建这个域是为了让客户机能够正常访问企业内部网站。同时注意除了企业内部网站所必须的域以外，应该尽量少创建域，防止DNS服务器错误解析域名或无法解析。

---

作者: 童话    时间: 2006-5-22 09:35

个人服务器之Win2000 DNS服务器的设置
一、DNS概述
　　计算机在网络上通讯时只能识别如“192.168.0.48”之类的数字地址，那为什么当我们打开浏览器，在地址栏中输入如“
www.abc.com
”的域名后，就能看到我们所需要的页面呢？这是在我们输入域名后，有一种“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址，然后调出那个IP地址所对应的网页，最后再传回给我们的浏览器，我们才能得到结果。
　　
　　DNS是域名系统 (Domain Name System)的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。DNS 命名用于TCP/IP网络，如Internet，用来通过用户友好的名称定位计算机和服务。当用户在应用程序中输入DNS 名称时，DNS服务可以将此名称解析为与此名称相关的其他信息，如IP地址。
　　
　　所以，我们想要我们自己内部网上的域名能成功地被解析（即翻译成IP地址），就需要将我们自己的2K机建立成一个DNS服务器，里面包含有我们的域名和IP地址之间的映射表。这通常需要建立一种A记录，A是Address的简写，意为“主机记录”或“主机地址记录”，是所有DNS记录中最常见的一种。
　　
　　二、DNS的设置
　　1、打开DNS控制台：选“开始菜单→程序→管理工具→DNS”。
　　
　　2、建立域名“admin.abc.com”映射IP地址“192.168.0.50”的主机记录。
　　
　　①建立“com”区域：选“DNS→WY（你的服务器名）→正向搜索区域→右键→新建区域”，然后根据提示选“标准主要区域”、在“名称”处输入“com”。如下图：
　　
　

　　②建立“abc”域：选“com→右键→新建域”，在“键入新域名”处输入“abc”。
　　
　　③建立“admin”主机。选“abc→右键→新建主机”，“名称”处为“admin”，“IP地址”处输入“192.168.0.50”，再按“添加主机”。
　　
　

　　3、建立域名“
www.abc.com
”映射IP地址“192.168.0.48”的主机记录。
　　
　　①由于域名“
www.abc.com
”和域名“admin.abc.com”均位于同一个“区域”和“域”中，均在上步已建立好，因此应直接使用，只需再在“域”中添加相应“主机名”即可。
　　
　　②建立“www”主机：选“abc→右键→新建主机”，在“名称”处输入“www”，“IP地址”处输入“192.168.0.48”，最后再“添加主机”即可。
　　
　　4、建立域名“ftp.abc.com”映射IP地址“192.168.0.49”的主机记录方法同上。
　　
　　5、建立域名“abc.com”映射IP地址“192.168.0.48”的主机记录方法也和上述相同，只是必须保持“名称”一项为空！建立好后它的“名称”处将显示“与父文件夹相同”。建立好的DNS控制台如下图所示：
　　
　

　　6、建立更多的主机记录或其他各种记录方法类似。更多的建立后如下图所示：
　　
　

　　7、建立时也有可以采用将“abc.com”整个作为“区域”，然后在它下面直接建立“主机”的作法。不过对于同类记录较多时，这种方法显得较为不便。
　　
　　三、DNS设置后的验证
　　为了测试所进行的设置是否成功，通常采用2K自带的“ping”命令来完成。格式如“ping
www.abc.com
”。成功的测试如下图所示：
　　

注释掉的------>个人服务器之Win2000 DNS服务器的设置
一、DNS概述
　　计算机在网络上通讯时只能识别如“192.168.0.48”之类的数字地址，那为什么当我们打开浏览器，在地址栏中输入如“

www.abc.com

”的域名后，就能看到我们所需要的页面呢？这是在我们输入域名后，有一种“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址，然后调出那个IP地址所对应的网页，最后再传回给我们的浏览器，我们才能得到结果。
　　
　　DNS是域名系统 (Domain Name System)的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。DNS 命名用于TCP/IP网络，如Internet，用来通过用户友好的名称定位计算机和服务。当用户在应用程序中输入DNS 名称时，DNS服务可以将此名称解析为与此名称相关的其他信息，如IP地址。
　　
　　所以，我们想要我们自己内部网上的域名能成功地被解析（即翻译成IP地址），就需要将我们自己的2K机建立成一个DNS服务器，里面包含有我们的域名和IP地址之间的映射表。这通常需要建立一种A记录，A是Address的简写，意为“主机记录”或“主机地址记录”，是所有DNS记录中最常见的一种。
　　
　　二、DNS的设置
　　1、打开DNS控制台：选“开始菜单→程序→管理工具→DNS”。
　　
　　2、建立域名“admin.abc.com”映射IP地址“192.168.0.50”的主机记录。
　　
　　①建立“com”区域：选“DNS→WY（你的服务器名）→正向搜索区域→右键→新建区域”，然后根据提示选“标准主要区域”、在“名称”处输入“com”。如下图：
　　
　

　　②建立“abc”域：选“com→右键→新建域”，在“键入新域名”处输入“abc”。
　　
　　③建立“admin”主机。选“abc→右键→新建主机”，“名称”处为“admin”，“IP地址”处输入“192.168.0.50”，再按“添加主机”。
　　
　

　　3、建立域名“

www.abc.com

”映射IP地址“192.168.0.48”的主机记录。
　　
　　①由于域名“

www.abc.com

”和域名“admin.abc.com”均位于同一个“区域”和“域”中，均在上步已建立好，因此应直接使用，只需再在“域”中添加相应“主机名”即可。
　　
　　②建立“www”主机：选“abc→右键→新建主机”，在“名称”处输入“www”，“IP地址”处输入“192.168.0.48”，最后再“添加主机”即可。
　　
　　4、建立域名“ftp.abc.com”映射IP地址“192.168.0.49”的主机记录方法同上。
　　
　　5、建立域名“abc.com”映射IP地址“192.168.0.48”的主机记录方法也和上述相同，只是必须保持“名称”一项为空！建立好后它的“名称”处将显示“与父文件夹相同”。建立好的DNS控制台如下图所示：
　　
　

　　6、建立更多的主机记录或其他各种记录方法类似。更多的建立后如下图所示：
　　
　

　　7、建立时也有可以采用将“abc.com”整个作为“区域”，然后在它下面直接建立“主机”的作法。不过对于同类记录较多时，这种方法显得较为不便。
　　
　　三、DNS设置后的验证
　　为了测试所进行的设置是否成功，通常采用2K自带的“ping”命令来完成。格式如“ping

www.abc.com

”。成功的测试如下图所示：
　　

---

作者: 童话    时间: 2006-5-22 09:35

DNS专题(14)---Windows客户端的配置和解析①
　　本章内容包括：
　　客户端的TCP/IP属性：介绍了对不同的客户端如何开始客户端配置程序。
　　配置客户端使用DHCP协议：DHCP可用来配置客户端的所有TCP/IP设置。DHCP发送的配置信息可以当作配置使用或在客户端未明确指定值的时候当作缺省值。
　　配置客户端使用DNS：介绍了如何配置windows 客户端使用DNS。
　　理解客户端对windows 解析器的使用：讨论了配置的设置是如何影响客户端从名字获得IP地址的过程的。
　　其他的客户端支持信息：讨论了一些更深层的事务：WINSproxies，MS-DOS的TCP/IP-32升级，以及NetBT注册表设置。
　　windows 客户端可以使用几种方法解析名字，具体使用的方法取决于配置。本章介绍了如何配置客户端在DNS服务器上解析主机名和在WINS服务器上解析NetBIOS名。此外还介绍了如何和为什么要配置客户端通过DNS查询NetBIOS计算机名。同时本章介绍了当客户端使用DHCP服务器时怎样才能有效地设置这些配置。客户端可能使用一系列协议，但本章主要讲TCP/IP的配置，因为使用DNS要求TCP/IP协议。
　　14.1客户端的TCP/IP属性
　　本章所涉及的配置都可在客户端系统的TCP/IP属性配置窗口找到。按以下步骤操作可访问TCP/IP属性窗口。
　　在windows NT4.0中步骤如下（windows 95/98也类似）：
　　1)打开网络对话框。可以双击控制面板中的“Network”或者在网上邻居图标上单击右键并选择“Properties”。
　　2)选择”Protocol”选项卡，然后在列表框中选中TCP/IP协议使之处于高亮态。
　　3)单击列表框下的“Propertres”按钮以打开微软的TCP/IP属性对话框，或在其他操作系统中的一个类似的对话框。
　　在windows 2000 中步骤稍有不同，具体如下：
　　1)打开网络和拨号连接对话框。可以在起始菜单的设置部分选择或者在控制面板中双击，还可右键单击桌面上的网上邻居图标并选择“Properties”。
　　2)选择名为“LocalAreaConnection”的对象，右键单击后选择“Properties”以打开局域网连接属性窗口。（本地连接对象的名字可能被更改过，但并无影响）。
　　3)在局域网连接属性对话框中，选择列表框中的TCP/IP协议使之处于高亮态。
　　4)单击列表框下的“Properties”按钮以打开TCP/IP属性对话框。
　　图14-1显示了windows 2000 的TCP/IP属性对话框。本章主要讨论该对话框中的设置，尤其是单击“Advanced”按钮后可访问的属性设置。为了方便，该对话框被称作TCP/IP属性窗口。
　　　

　　14.2配置客户端使用DHCP协议
　　配置客户端使用DHCP协议的一个原因是许多网络中使用DHCP协议传送IP地址和配置设置给客户端。另一个原因是从DHCP服务器接收到的设置信息只有当该设置信息没有在客户端的DNS和WINS设置中指定时才使用（本章后续部分将涉及DNS和WINS设置）。在诊断DHCP客户端的问题时，最好记住这一点并检查DHCP设置是否被重置。
　　对DHCP客户端的唯一要求是客户端所在的计算机的操作系统要支持DHCP。下列操作系统允许客户端使用DHCP：
　　windows 2000 服务器和工作站。
　　windows NT服务器3.5，3.51和4.0。
　　windows NT工作站3.5,3.51和4.0。
　　windows 95和98。
　　windows forWorkgroups3.1（要求安装了微软TCP/IP-32forwindows forworkgroups）。
　　MSNetworkClient3.0forMS-DOS（要求安装实模式下的TCP/IP－32驱动程序）。
　　LANManager2.2C（不包括LANManagerforOS/2）。
　　Solaris2.X和7。
　　Linux（所有最近的版本）。
　　要启用windows 2000 DHCP客户端，必须以管理员身份登录到客户机上。一般在安装微软TCP/IP的过程中启用DHCP。但如果以前就手动配置过TCP/IP，可按以下步骤：
　　1)打开TCP/IP属性对话框。
　　2)在NT4.0中选中标签为“ObtainanIpAddressfromaDHCPServer(从DHCP服务器获得IP地址)”的单选按钮并确定关于DHCP协议的对话框。在windows 2000 中该单选按钮的标签为“ObtainanAddressAutomatically(自动获得IP地址)”。
　　3)此时IP地址和子网掩码框都失效（变灰），手动配置的值也不再显示。在windows 2000 中，新添加的使能单选按钮“ObtainDNSServerAddressAutomatically(自动获得DNS服务器的地址)”使用DHCP提供的值或者手动配置。
　　4)自动设置配置是很一般的。如果不使用的话可现在设置。在windows 2000 中，单击“Advanced”按钮以设置WINS和DNS服务器的地址值。当要改变以前设置好的客户端使之使用自动设置，最好检查一下以前的设置（尤其是WINS和DNS设置）是否已删掉。
　　5)选择“OK”退出TCP/IP属性窗口返回到网络设置窗口或对话框。
　　6)再次选择“OK”。对windows 2000 ，一切都已完成。但对低级的客户端需要重启计算机如果非微软的DHCP服务器被用于向客户端提供IP地址和其他配置信息，它很可能能提供所有的一般选项，但却不能完成windows 2000 的DHCP可完成的一些任务。一个是用动态更新同DNS交互，另一个是选项81的用户类，最后还有NetBIOS和WINS设置。更新DNS的能力是服务器方的配置。选项81正在被定义，可与windows 2000 的客户端互操作，但在其他的DHCP服务器上一般找不到。要支持将所需的WINS配置信息提供给DHCP客户端，则DHCP服务器必须支持以下DHCP选项：
　　044WINS/NBNS服务器，配置有一个或多个WINS服务器的IP地址。
　　046WINS/NBT节点类型集为0X1(b-节点)，0X2(p节点)，0X4(m节点)或0X8(h节点)。
　　参考15章可获得更多关于建立微软DHCP服务器提供服务给windows 客户端的信息。要获得关于节点类型的更多信息请参见第17章。
　　14.3配置客户端使用DNS
　　从前面几章已经知道，DNS提供分布式数据库，数据库中包含可标识Internet主机的层次型域名系统。DNS的详细说明见RFC1034和RFC1035。
　　对低级的客户端，DNS服务器要求配置静态的IP地址以实现域区内从名字到地址的映射，除非使用windows 2000 DHCP服务器或DNS/WINS集成。尽管DNS和WINS很相似，都提供名字服务，但是WINS可以提供动态的名字到地址的映射。所以与WINS集成的DNS比没有动态更新能力的DNS要求少得多的管理工作。低级的客户端在没有windows 2000 DHCP的情况下也是可以通过DNS工作，只要该DNS服务器被配置为使用WINS。当启用动态更新时，windows 2000 客户端可以维护它们在DNS中的相关记录。这些情况影响其他系统利用DNS定位特定机器的能力，这些系统利用了基于机器注册的标准方法。
　　在各种情况下，客户端都要配置为指向一个或多个DNS服务器以定位DNS域名空间中的主机和资源。该配置可以手工完成，也可通过DHCP传送。这些配置是用于配置TCP/IP解析器的，解析器用于定位TCP/IP网络上的资源。如果一台windows 2000 服务器正在运行DHCP服务，当启用动态更新时也要为DHCP服务器配置发送动态DNS更新的目的地。
　　14.3.1为DNS设置主机名和域名
　　在低级的操作系统中设定主机名和域名，应在TCP/IP属性窗口的DNS选项卡中的主机名和域名框中输入。14.3.3一节将更详细地讨论该操作。
　　在windows 2000 中，这些设置略有不同，这也反映了windows 2000 中DNS的重要地位。如图14-2所示，在装了windows 2000 的机器中有一个主DNS标识。本章后面部分将介绍接口可以有特定的DNS标识。
　　

　　要设置windows 2000 中的机器的DNS标识，按以下步骤操作：
　　1)右键单击桌面上我的电脑图标并选择“Properties”或双击控制面板中的系统图标以打开系统属性对话框。
　　2)选择网络标识选项卡。
　　3)在计算机名字区输入该机的DNS名。
　　4)单击“Properties”打开标识改变对话框。
　　5)单击“More”打开DNS后缀和NetBIOS名字对话框。
　　6)输入该机正确的主DNS后缀。
　　7)当windows 2000 域和DNS保持一致的情况下，当域中主机的域成员关系改变后要改变主DNS后缀。
　　8)单击“OK”然后重启。（此处是windows 2000 仅剩的仍然需要重启的几个地方之一）。
　　DNS域名和主机名一起使用以创建计算机的全域名。当windows 2000 被配置为动态的更新DNS，A记录和可能的PTR记录将用全域名创建（除非其他的设置改变了这种行为）。在低级的系统中，DNS域经常与windows NT或LANMonager的域不同。在windows 2000 中，情况却有所不同，大多数新的配置将遵循DNS和windows 2000 域名保持同步的原则。在这些低级系统中的DNS记录及它们所属的域是由DNS管理员或DHCP服务器配置所决定的。当注册是静态时，windows 2000 客户端的DNS记录是由DNS管理员控制的，当注册是动态时，这些记录由客户端的DNS配置决定。注释掉的------>DNS专题(14)---Windows客户端的配置和解析①
　　本章内容包括：
　　客户端的TCP/IP属性：介绍了对不同的客户端如何开始客户端配置程序。
　　配置客户端使用DHCP协议：DHCP可用来配置客户端的所有TCP/IP设置。DHCP发送的配置信息可以当作配置使用或在客户端未明确指定值的时候当作缺省值。
　　配置客户端使用DNS：介绍了如何配置windows 客户端使用DNS。
　　理解客户端对windows 解析器的使用：讨论了配置的设置是如何影响客户端从名字获得IP地址的过程的。
　　其他的客户端支持信息：讨论了一些更深层的事务：WINSproxies，MS-DOS的TCP/IP-32升级，以及NetBT注册表设置。
　　windows 客户端可以使用几种方法解析名字，具体使用的方法取决于配置。本章介绍了如何配置客户端在DNS服务器上解析主机名和在WINS服务器上解析NetBIOS名。此外还介绍了如何和为什么要配置客户端通过DNS查询NetBIOS计算机名。同时本章介绍了当客户端使用DHCP服务器时怎样才能有效地设置这些配置。客户端可能使用一系列协议，但本章主要讲TCP/IP的配置，因为使用DNS要求TCP/IP协议。
　　14.1客户端的TCP/IP属性
　　本章所涉及的配置都可在客户端系统的TCP/IP属性配置窗口找到。按以下步骤操作可访问TCP/IP属性窗口。
　　在windows NT4.0中步骤如下（windows 95/98也类似）：
　　1)打开网络对话框。可以双击控制面板中的“Network”或者在网上邻居图标上单击右键并选择“Properties”。
　　2)选择”Protocol”选项卡，然后在列表框中选中TCP/IP协议使之处于高亮态。
　　3)单击列表框下的“Propertres”按钮以打开微软的TCP/IP属性对话框，或在其他操作系统中的一个类似的对话框。
　　在windows 2000 中步骤稍有不同，具体如下：
　　1)打开网络和拨号连接对话框。可以在起始菜单的设置部分选择或者在控制面板中双击，还可右键单击桌面上的网上邻居图标并选择“Properties”。
　　2)选择名为“LocalAreaConnection”的对象，右键单击后选择“Properties”以打开局域网连接属性窗口。（本地连接对象的名字可能被更改过，但并无影响）。
　　3)在局域网连接属性对话框中，选择列表框中的TCP/IP协议使之处于高亮态。
　　4)单击列表框下的“Properties”按钮以打开TCP/IP属性对话框。
　　图14-1显示了windows 2000 的TCP/IP属性对话框。本章主要讨论该对话框中的设置，尤其是单击“Advanced”按钮后可访问的属性设置。为了方便，该对话框被称作TCP/IP属性窗口。
　　　

　　14.2配置客户端使用DHCP协议
　　配置客户端使用DHCP协议的一个原因是许多网络中使用DHCP协议传送IP地址和配置设置给客户端。另一个原因是从DHCP服务器接收到的设置信息只有当该设置信息没有在客户端的DNS和WINS设置中指定时才使用（本章后续部分将涉及DNS和WINS设置）。在诊断DHCP客户端的问题时，最好记住这一点并检查DHCP设置是否被重置。
　　对DHCP客户端的唯一要求是客户端所在的计算机的操作系统要支持DHCP。下列操作系统允许客户端使用DHCP：
　　windows 2000 服务器和工作站。
　　windows NT服务器3.5，3.51和4.0。
　　windows NT工作站3.5,3.51和4.0。
　　windows 95和98。
　　windows forWorkgroups3.1（要求安装了微软TCP/IP-32forwindows forworkgroups）。
　　MSNetworkClient3.0forMS-DOS（要求安装实模式下的TCP/IP－32驱动程序）。
　　LANManager2.2C（不包括LANManagerforOS/2）。
　　Solaris2.X和7。
　　Linux（所有最近的版本）。
　　要启用windows 2000 DHCP客户端，必须以管理员身份登录到客户机上。一般在安装微软TCP/IP的过程中启用DHCP。但如果以前就手动配置过TCP/IP，可按以下步骤：
　　1)打开TCP/IP属性对话框。
　　2)在NT4.0中选中标签为“ObtainanIpAddressfromaDHCPServer(从DHCP服务器获得IP地址)”的单选按钮并确定关于DHCP协议的对话框。在windows 2000 中该单选按钮的标签为“ObtainanAddressAutomatically(自动获得IP地址)”。
　　3)此时IP地址和子网掩码框都失效（变灰），手动配置的值也不再显示。在windows 2000 中，新添加的使能单选按钮“ObtainDNSServerAddressAutomatically(自动获得DNS服务器的地址)”使用DHCP提供的值或者手动配置。
　　4)自动设置配置是很一般的。如果不使用的话可现在设置。在windows 2000 中，单击“Advanced”按钮以设置WINS和DNS服务器的地址值。当要改变以前设置好的客户端使之使用自动设置，最好检查一下以前的设置（尤其是WINS和DNS设置）是否已删掉。
　　5)选择“OK”退出TCP/IP属性窗口返回到网络设置窗口或对话框。
　　6)再次选择“OK”。对windows 2000 ，一切都已完成。但对低级的客户端需要重启计算机如果非微软的DHCP服务器被用于向客户端提供IP地址和其他配置信息，它很可能能提供所有的一般选项，但却不能完成windows 2000 的DHCP可完成的一些任务。一个是用动态更新同DNS交互，另一个是选项81的用户类，最后还有NetBIOS和WINS设置。更新DNS的能力是服务器方的配置。选项81正在被定义，可与windows 2000 的客户端互操作，但在其他的DHCP服务器上一般找不到。要支持将所需的WINS配置信息提供给DHCP客户端，则DHCP服务器必须支持以下DHCP选项：
　　044WINS/NBNS服务器，配置有一个或多个WINS服务器的IP地址。
　　046WINS/NBT节点类型集为0X1(b-节点)，0X2(p节点)，0X4(m节点)或0X8(h节点)。
　　参考15章可获得更多关于建立微软DHCP服务器提供服务给windows 客户端的信息。要获得关于节点类型的更多信息请参见第17章。
　　14.3配置客户端使用DNS
　　从前面几章已经知道，DNS提供分布式数据库，数据库中包含可标识Internet主机的层次型域名系统。DNS的详细说明见RFC1034和RFC1035。
　　对低级的客户端，DNS服务器要求配置静态的IP地址以实现域区内从名字到地址的映射，除非使用windows 2000 DHCP服务器或DNS/WINS集成。尽管DNS和WINS很相似，都提供名字服务，但是WINS可以提供动态的名字到地址的映射。所以与WINS集成的DNS比没有动态更新能力的DNS要求少得多的管理工作。低级的客户端在没有windows 2000 DHCP的情况下也是可以通过DNS工作，只要该DNS服务器被配置为使用WINS。当启用动态更新时，windows 2000 客户端可以维护它们在DNS中的相关记录。这些情况影响其他系统利用DNS定位特定机器的能力，这些系统利用了基于机器注册的标准方法。
　　在各种情况下，客户端都要配置为指向一个或多个DNS服务器以定位DNS域名空间中的主机和资源。该配置可以手工完成，也可通过DHCP传送。这些配置是用于配置TCP/IP解析器的，解析器用于定位TCP/IP网络上的资源。如果一台windows 2000 服务器正在运行DHCP服务，当启用动态更新时也要为DHCP服务器配置发送动态DNS更新的目的地。
　　14.3.1为DNS设置主机名和域名
　　在低级的操作系统中设定主机名和域名，应在TCP/IP属性窗口的DNS选项卡中的主机名和域名框中输入。14.3.3一节将更详细地讨论该操作。
　　在windows 2000 中，这些设置略有不同，这也反映了windows 2000 中DNS的重要地位。如图14-2所示，在装了windows 2000 的机器中有一个主DNS标识。本章后面部分将介绍接口可以有特定的DNS标识。
　　

　　要设置windows 2000 中的机器的DNS标识，按以下步骤操作：
　　1)右键单击桌面上我的电脑图标并选择“Properties”或双击控制面板中的系统图标以打开系统属性对话框。
　　2)选择网络标识选项卡。
　　3)在计算机名字区输入该机的DNS名。
　　4)单击“Properties”打开标识改变对话框。
　　5)单击“More”打开DNS后缀和NetBIOS名字对话框。
　　6)输入该机正确的主DNS后缀。
　　7)当windows 2000 域和DNS保持一致的情况下，当域中主机的域成员关系改变后要改变主DNS后缀。
　　8)单击“OK”然后重启。（此处是windows 2000 仅剩的仍然需要重启的几个地方之一）。
　　DNS域名和主机名一起使用以创建计算机的全域名。当windows 2000 被配置为动态的更新DNS，A记录和可能的PTR记录将用全域名创建（除非其他的设置改变了这种行为）。在低级的系统中，DNS域经常与windows NT或LANMonager的域不同。在windows 2000 中，情况却有所不同，大多数新的配置将遵循DNS和windows 2000 域名保持同步的原则。在这些低级系统中的DNS记录及它们所属的域是由DNS管理员或DHCP服务器配置所决定的。当注册是静态时，windows 2000 客户端的DNS记录是由DNS管理员控制的，当注册是动态时，这些记录由客户端的DNS配置决定。

---

作者: 童话    时间: 2006-5-22 09:36

针对中小企业的AD域控与DNS建设方案(图)
　　我们当前所使用的网络，最基本的就是TCP/IP网络（我们平常所涉及到的上网，浏览网页都是使用的这个网络），而TCP/IP网络中最基本的服务就是域名服务，该服务用来将主机名与IP地址进行转换。我们要访问一台网络上的计算机就要知道它的地址，而这个地址是用数字表示的（就像192.168.1.11等），非常不利于我们人类记忆，那么我们就为这些数字的地址取一个容易记的名字（比如TOM，SINA等），这样我们只要输入这些容易记的名字，他们就自动被翻译成机器理解的IP地址，这样就能访问网络上的计算机了。可以使用三种技术来实现主机名和IP地址之间的转换：Host表、网络信息服务系统（NIS）和域名服务（DNS）。
　　
　　Host表：是简单的文本文件（/etc/hosts文件），其中存放了主机名和IP地址的映射表，它通过在该文件中搜索来匹配主机名和IP地址。但是在一个大型的网络中建立Host表是一件繁琐而又恐怖的事情。而NIS是将主机表当作NIS主机数据库，所有的客户机都需要从它这里获得所需的主机表信息，当网络一大时，就会出现主机名转换为IP时的效率低下问题。而最好的方法就是DNS（Domain Name Server），它使用一种分层的、分布式数据库方式来处理Internet上成千上万个主机和IP地址的转换。
　　
　　DNS工作原理图：
　　
　

　　DNS系统本身对服务器的要求不是很高，压力不是很重，完全可以与Active Directory域控制器统一部署在同一台服务器上。实际上，DNS服务就是Windows Active Directory域控制器的一项最重要的功能。
　　
　　我们对DNS服务器（包括AD域控制器）进行了性能压力测试，详细的测试过程与结果分析如下：
　　

　　测试平台:NF500 4*3.16G/1G/1000M/5*U320 SCSI/RAID5
　　
　　DNS服务器测试分析：
　　
　　测试结论：
　　
　　*一个有4个处理器和1GB内存并集成Windows 2000 Server Active Directory的DNS服务器可以为12,000人提供服务。
　　
　　*一个有2个处理器和1GB内存全局编录的服务器，可以支持10,000个用户的LDAP和Exchange 2000要求。
　　
　　* 一个有4个处理器和512MB内存的域控制服务器可以支持17,000个用户进行登陆和网络验证。
　　
　　DNS服务器选型建议：
　　
　　网络规模－小型（并发100人左右）
　　
　　建议采用P4 2.8GHz/512MB ECC DDRII/1块 SATA硬盘/1000Mbps 网卡（浪潮NP110G2）
　　
　　如果DNS服务器集成在域控制器上，建议采用： P4 2.8GHz/1024MB/2块 SATA/RAID0/ 1000Mbps 网卡（浪潮NP110G2）
　　
　　网络规模－中型（并发500人左右）
　　
　　建议采用Xeon 2.8GHz/1024MB ECC DDRII /1 块SCSI硬盘/1000Mbps网卡（浪潮NP370G2）
　　
　　如果DNS服务器集成在域控制器上，建议采用： Xeon 2.8GHz/1024MB ECC DDRII/3块SCSI/RAID5/1000Mbps 网卡（NP370G2）注释掉的------>针对中小企业的AD域控与DNS建设方案(图)
　　我们当前所使用的网络，最基本的就是TCP/IP网络（我们平常所涉及到的上网，浏览网页都是使用的这个网络），而TCP/IP网络中最基本的服务就是域名服务，该服务用来将主机名与IP地址进行转换。我们要访问一台网络上的计算机就要知道它的地址，而这个地址是用数字表示的（就像192.168.1.11等），非常不利于我们人类记忆，那么我们就为这些数字的地址取一个容易记的名字（比如TOM，SINA等），这样我们只要输入这些容易记的名字，他们就自动被翻译成机器理解的IP地址，这样就能访问网络上的计算机了。可以使用三种技术来实现主机名和IP地址之间的转换：Host表、网络信息服务系统（NIS）和域名服务（DNS）。
　　
　　Host表：是简单的文本文件（/etc/hosts文件），其中存放了主机名和IP地址的映射表，它通过在该文件中搜索来匹配主机名和IP地址。但是在一个大型的网络中建立Host表是一件繁琐而又恐怖的事情。而NIS是将主机表当作NIS主机数据库，所有的客户机都需要从它这里获得所需的主机表信息，当网络一大时，就会出现主机名转换为IP时的效率低下问题。而最好的方法就是DNS（Domain Name Server），它使用一种分层的、分布式数据库方式来处理Internet上成千上万个主机和IP地址的转换。
　　
　　DNS工作原理图：
　　
　

　　DNS系统本身对服务器的要求不是很高，压力不是很重，完全可以与Active Directory域控制器统一部署在同一台服务器上。实际上，DNS服务就是Windows Active Directory域控制器的一项最重要的功能。
　　
　　我们对DNS服务器（包括AD域控制器）进行了性能压力测试，详细的测试过程与结果分析如下：
　　

　　测试平台:NF500 4*3.16G/1G/1000M/5*U320 SCSI/RAID5
　　
　　DNS服务器测试分析：
　　
　　测试结论：
　　
　　*一个有4个处理器和1GB内存并集成Windows 2000 Server Active Directory的DNS服务器可以为12,000人提供服务。
　　
　　*一个有2个处理器和1GB内存全局编录的服务器，可以支持10,000个用户的LDAP和Exchange 2000要求。
　　
　　* 一个有4个处理器和512MB内存的域控制服务器可以支持17,000个用户进行登陆和网络验证。
　　
　　DNS服务器选型建议：
　　
　　网络规模－小型（并发100人左右）
　　
　　建议采用P4 2.8GHz/512MB ECC DDRII/1块 SATA硬盘/1000Mbps 网卡（浪潮NP110G2）
　　
　　如果DNS服务器集成在域控制器上，建议采用： P4 2.8GHz/1024MB/2块 SATA/RAID0/ 1000Mbps 网卡（浪潮NP110G2）
　　
　　网络规模－中型（并发500人左右）
　　
　　建议采用Xeon 2.8GHz/1024MB ECC DDRII /1 块SCSI硬盘/1000Mbps网卡（浪潮NP370G2）
　　
　　如果DNS服务器集成在域控制器上，建议采用： Xeon 2.8GHz/1024MB ECC DDRII/3块SCSI/RAID5/1000Mbps 网卡（NP370G2）

---

作者: 童话    时间: 2006-5-22 09:36

妙用DNS解析实现防火墙客户的重定向(图)
　　前言：现在很多公司都使用微软的活动目录对网络进行管理，其中内部DNS服务器是不可或缺的一个组成部分。我们知道，对于ISA的防火墙客户端通过ISA访问网络资源时，其DNS解析由ISA服务器帮助完成，你是否有想过，通过的内部DNS服务器和防火墙客户端结合，能够巧妙的解决很多实际问题。
　　
　　这篇文章里，我将通过两个CASE，讲述使用两者结合的方法解决两个实际问题。
　　
　　声明：这两个CASE都是我近期遇到的问题，其中解决第一个CASE的是我的一个同事，他为我提供了一种新的思路；第二个CASE则是我沿用这种思路，解决新的问题。
　　
　　CASE1：
　　
　　问题描述：Contoso公司的网络环境如下图所示：
　　
　

　　该公司使用ISA 2004作为代理服务器。
　　
　　公司内部网络采用单林单域模式，内部DNS名为contoso.com，在Internet上注册的域名亦为contoso.com。公司有50多台服务器，包括邮件服务器、数据库服务器、OA服务器、FTP服务器与Web服务器等，其中邮件服务器、OA服务器均为双网卡，而FTP服务器与Web服务器均只有外网卡，数据库服务器只有内网卡。有外网卡的服务器均直接与外线交换机相连，且在Internet上注册有合法的DNS名。
　　
　　公司内部客户机的TCP/IP配置中，将DNS指向内部的DNS服务器，有访问互联网权限的客户机均使用FWC方式访问Internet。现公司为了提高访问OA服务器和邮件服务器的速度，要求客户机通过服务器的内部网卡进行访问邮件服务器和OA服务器。
　　
　　分析存在的问题：OA服务器和邮件服务器数量总和大约在30台，如果一台一台在ISA控制台上设置“访问不通过代理服务器”，工作量较大，且将来添加新服务器时，需要在ISA上添加相应的纪录；另一方面，如果在ISA上直接设置Bypass *.contoso.com，那么会造成安装有防火墙客户端用户无法访问ftp.contoso.com和
www.contoso.com
（因为这几台Server没有内网卡）。
　　
　　解决方案：其实解决的方案有很多，但下面这种最简单的不知道你想到没有：
　　
　　在ISA Server上对*.contoso.com进行Bypass，然后在内部DNS为ftp.contoso.com和
www.contoso.com
分别新建两条A纪录，指向各自的外网IP。
　　
　　我们以
www.contoso.com
为例，来考虑一下现在的客户机访问过程：
　　
　　1、用户通过IE访问
www.contoso.com
，通过防火墙客户端向ISA Server发送请求，要求进行解析；
　　
　　2、ISA判定访问此web站点不需要经过ISA Server；
　　
　　3、客户端向内网DNS查询
www.contoso.com
的地址，内部DNS返回这台服务器的外网IP；
　　
　　4、客户端判定IP地址在外网，向ISA发送访问此IP的请求；
　　
　　5、代理服务器通过策略处理，响应请求，连接建立。
　　
　　正如上述过程所描述的，防火墙客户端模式的客户机通过使用内部DNS服务器的解析，实现了对外部资源的访问。
　　
　　请仔细体会一下其中的过程，然后接着看CASE2。
　　
　　CASE2：
　　
　　背景描述：BlueEye公司位于上海，是总部位于深圳的Contoso收购的一家公司。Contoso收购Blueeye后，未对BlueEye的AD架构进行更改，而保持了其原有的内部DNS名：BlueEye.com，只是将其电子邮件名统一为Contoso.com，且要求其通过使用总部的邮件服务器进行邮件的发送与接受，便于邮件的监控。
　　
　　两家公司的网络结构图简单表示如下所示：
　　
　

　　BlueEye内部有收发邮件的客户机均安装了防火墙客户端软件，使用Outlook Express收发邮件，且总部指定其使用的POP3服务器为POP3.contoso.com，SMTP服务器为SMTP.contoso.com。Contoso公司另有一台SMTP2.contoso.com供另一家分公司使用。
　　
　　某日，Contoso通知BlueEye其SMTP.contoso.com突然Down机，正在进行抢修，要求BlueEye的IT部门通知BlueEye的内部用户（1000多人）更改OE的设置，使用SMTP2.contoso.com作为临时的SMTP服务器。
　　
　　分析：如果通知所有用户修改OE设置，等原先的SMTP服务器修复后还需要再更改回来，必定会造成用户的不满；同时，总部的 SMTP2.contoso.com服务器供另一家分公司使用，暂时不会考虑去ISP的DNS注册别名。那么如何才能够快速解决此问题呢？
　　
　　解决方案：如果你看过CASE1，应该会有一个思路：能不能让用户的客户机将SMTP.contoso.com解析为SMTP2.contoso.com的IP，然后再向ISA发送访问请求呢？
　　
　　自然是可以的，方法如下：
　　
　　（1）在BlueEye.com的内部DNS上新建一个主区域(不需要选择与AD集成)，命名为contoso.com
　　
　

　　
　

　　（2）在contoso.com中新建一条A纪录，将SMTP.contoso.com指向61.0.0.2
　　
　

　　（3）在ISA Server上中将SMTP.contoso.com添加到标签Domains中；
　　

　　（4）客户机刷新防火墙策略后，即可成功接收和发送邮件。待smtp服务器修复后，删除所作的更改即可恢复原来的状态，而不需要在客户端进行任何的修改。
　　
　　上述两个CASE，没有用到什么高深的知识，只是通过思路的转变，就解决了两个比较棘手的问题。希望这篇文章能够给你提供一种新的解决问题的思路。注释掉的------>妙用DNS解析实现防火墙客户的重定向(图)
　　前言：现在很多公司都使用微软的活动目录对网络进行管理，其中内部DNS服务器是不可或缺的一个组成部分。我们知道，对于ISA的防火墙客户端通过ISA访问网络资源时，其DNS解析由ISA服务器帮助完成，你是否有想过，通过的内部DNS服务器和防火墙客户端结合，能够巧妙的解决很多实际问题。
　　
　　这篇文章里，我将通过两个CASE，讲述使用两者结合的方法解决两个实际问题。
　　
　　声明：这两个CASE都是我近期遇到的问题，其中解决第一个CASE的是我的一个同事，他为我提供了一种新的思路；第二个CASE则是我沿用这种思路，解决新的问题。
　　
　　CASE1：
　　
　　问题描述：Contoso公司的网络环境如下图所示：
　　
　

　　该公司使用ISA 2004作为代理服务器。
　　
　　公司内部网络采用单林单域模式，内部DNS名为contoso.com，在Internet上注册的域名亦为contoso.com。公司有50多台服务器，包括邮件服务器、数据库服务器、OA服务器、FTP服务器与Web服务器等，其中邮件服务器、OA服务器均为双网卡，而FTP服务器与Web服务器均只有外网卡，数据库服务器只有内网卡。有外网卡的服务器均直接与外线交换机相连，且在Internet上注册有合法的DNS名。
　　
　　公司内部客户机的TCP/IP配置中，将DNS指向内部的DNS服务器，有访问互联网权限的客户机均使用FWC方式访问Internet。现公司为了提高访问OA服务器和邮件服务器的速度，要求客户机通过服务器的内部网卡进行访问邮件服务器和OA服务器。
　　
　　分析存在的问题：OA服务器和邮件服务器数量总和大约在30台，如果一台一台在ISA控制台上设置“访问不通过代理服务器”，工作量较大，且将来添加新服务器时，需要在ISA上添加相应的纪录；另一方面，如果在ISA上直接设置Bypass *.contoso.com，那么会造成安装有防火墙客户端用户无法访问ftp.contoso.com和

www.contoso.com

（因为这几台Server没有内网卡）。
　　
　　解决方案：其实解决的方案有很多，但下面这种最简单的不知道你想到没有：
　　
　　在ISA Server上对*.contoso.com进行Bypass，然后在内部DNS为ftp.contoso.com和

www.contoso.com

分别新建两条A纪录，指向各自的外网IP。
　　
　　我们以

www.contoso.com

为例，来考虑一下现在的客户机访问过程：
　　
　　1、用户通过IE访问

www.contoso.com

，通过防火墙客户端向ISA Server发送请求，要求进行解析；
　　
　　2、ISA判定访问此web站点不需要经过ISA Server；
　　
　　3、客户端向内网DNS查询

www.contoso.com

的地址，内部DNS返回这台服务器的外网IP；
　　
　　4、客户端判定IP地址在外网，向ISA发送访问此IP的请求；
　　
　　5、代理服务器通过策略处理，响应请求，连接建立。
　　
　　正如上述过程所描述的，防火墙客户端模式的客户机通过使用内部DNS服务器的解析，实现了对外部资源的访问。
　　
　　请仔细体会一下其中的过程，然后接着看CASE2。
　　
　　CASE2：
　　
　　背景描述：BlueEye公司位于上海，是总部位于深圳的Contoso收购的一家公司。Contoso收购Blueeye后，未对BlueEye的AD架构进行更改，而保持了其原有的内部DNS名：BlueEye.com，只是将其电子邮件名统一为Contoso.com，且要求其通过使用总部的邮件服务器进行邮件的发送与接受，便于邮件的监控。
　　
　　两家公司的网络结构图简单表示如下所示：
　　
　

　　BlueEye内部有收发邮件的客户机均安装了防火墙客户端软件，使用Outlook Express收发邮件，且总部指定其使用的POP3服务器为POP3.contoso.com，SMTP服务器为SMTP.contoso.com。Contoso公司另有一台SMTP2.contoso.com供另一家分公司使用。
　　
　　某日，Contoso通知BlueEye其SMTP.contoso.com突然Down机，正在进行抢修，要求BlueEye的IT部门通知BlueEye的内部用户（1000多人）更改OE的设置，使用SMTP2.contoso.com作为临时的SMTP服务器。
　　
　　分析：如果通知所有用户修改OE设置，等原先的SMTP服务器修复后还需要再更改回来，必定会造成用户的不满；同时，总部的 SMTP2.contoso.com服务器供另一家分公司使用，暂时不会考虑去ISP的DNS注册别名。那么如何才能够快速解决此问题呢？
　　
　　解决方案：如果你看过CASE1，应该会有一个思路：能不能让用户的客户机将SMTP.contoso.com解析为SMTP2.contoso.com的IP，然后再向ISA发送访问请求呢？
　　
　　自然是可以的，方法如下：
　　
　　（1）在BlueEye.com的内部DNS上新建一个主区域(不需要选择与AD集成)，命名为contoso.com
　　
　

　　
　

　　（2）在contoso.com中新建一条A纪录，将SMTP.contoso.com指向61.0.0.2
　　
　

　　（3）在ISA Server上中将SMTP.contoso.com添加到标签Domains中；
　　

　　（4）客户机刷新防火墙策略后，即可成功接收和发送邮件。待smtp服务器修复后，删除所作的更改即可恢复原来的状态，而不需要在客户端进行任何的修改。
　　
　　上述两个CASE，没有用到什么高深的知识，只是通过思路的转变，就解决了两个比较棘手的问题。希望这篇文章能够给你提供一种新的解决问题的思路。

---

作者: 童话    时间: 2006-5-22 09:37

Windows服务器宝典一式NS调教技巧(图)  　　在管理和维护Windows服务器的过程中，DNS服务的设置和维护是其中重要的一项“功课”，毕竟网络访问的高效与否，与DNS服务的工作性能息息相关！要让DNS服务器始终能为网络访问提供高效服务，自然少不了要掌握一些DNS服务的调教技巧。为此，本文特意总结了这方面的一些技巧，希望它们能对各位有所用处！
　　
　　1、巧妙查询DNS所用端口
　　
　　有时候需要通过防火墙，来阻止服务器随意接受任意工作站的域名解析请求；不过要能实现这个目的，需要事先知道DNS使用了什么端口，以及使用了什么通信协议，然后才能在防火墙中针对指定的端口和协议进行过滤设置。那么，如何才能快速地知道DNS服务在工作时使用的是什么通信协议以及哪个通信端口呢？为此，本文特意为你提供了如下的方法，来快速查询DNS所用端口以及通信协议：
　　
　　首先打开系统的资源管理器窗口，并进入到Windows系统所在的安装磁盘分区，再依次展开其中的“WinNt”文件夹、“system32”文件夹、“drivers”文件夹、“etc”文件夹；
　　
　　接着用鼠标右键单击“etc”文件夹子窗口中的“services”文件，从弹出的快捷菜单中执行“打开方式”命令，在随后出现的应用程序选择对话框中，选中“记事本”应用程序，并单击“确定”按钮；
　　
　　在其后出现的文本编辑界面中，依次单击工具栏中的“编辑”/“查找”命令，在打开的查找对话框中，输入关键字“Domain Name”，然后单击“查找下一个”按钮，这样你就能在编辑窗口中快速找到域名服务所使用的端口和通信协议了，如图1所示。从该界面中，你不难看出DNS所用的通信端口号码为53，使用的通信协议包括TCP协议和UDP协议。
　　
　

　　
图1
　　
　　2、快速测试DNS的能力
　　
　　大家知道，DNS服务器在进行域名解析时，通常具有简单查询和递进查询两种方式，其中通过简单查询可以知道DNS映射一个IP地址对应名称的能力大小，通过递进查询可以知道DNS映射一个名称对应IP地址的能力大小。那么，如何才能快速知道自己搭建的DNS服务器，在简单查询能力和递进查询能力都有效呢？其实很简单，你可以按照下面的步骤来操作就能知道了：
　　
　　依次单击“开始”/“程序”/“管理工具”/“DNS”命令，在弹出的DNS服务器管理控制台窗口中，用鼠标右键单击目标DNS服务器，从随后弹出的右键菜单中执行“属性”命令；
　　
　　在接着打开的DNS服务器属性设置对话框中，单击“监视”标签，并在对应的标签页面中（如图2所示），选中简单查询或递进查询测试选项，再单击“立即测试”按钮，就能对DNS服务器能力的进行测试了；
　　
　

　　
图2
　　
　　测试完毕后，你会在对应的窗口中看到具体的结果，例如一旦DNS服务器没有递进查询能力的话，测试结果就会表现为“失败”，要是DNS服务器具有简单查询功能的话，那么测试结果就会表现为“通过”。当然，如果你选中“以下列间隔进行自动测试”复选项选中，同时指定好具体的间隔时间的话，那么Windows服务器系统就会每隔一定的时间，对DNS服务器的简单查询能力或递进查询能力进行自动测试。
　　
　　3、为DNS解析提速
　　
　　输入在IE浏览器地址栏中的网址，是无法帮助我们直接获得想要的资源信息的，它必须通过DNS解析系统，转换成IP地址后才能让我们看到想要的内容。不过，网址转换成IP地址的过程是一个非常耗时的过程。如果我们能在访问某个网站之前，提前知道了它的IP地址时，就能把该IP地址直接输入在浏览器地址栏中，这样就能
　　
　　跳过层层级级寻找域名服务器的过程，显然这种方式会让访问速度大大提高。可惜的是，我们往往无法提前知道所有的网站IP地址。但是，我们还是可以通过下面的方法，对常用网站的网址进行快速解析：
　　
　　如果你使用的是Windows 98/Me系统的话，那么你可以先将平时访问的网站网址搜集起来，并借助ping命令来得到这些网址的IP地址。例如，要想得到“ycsti.sti.js.cn”网址的IP地址时，你可以依次单击“开始”/“运行”命令，在随后打开的系统运行对话框中，输入字符串命令“ping ycsti.sti.js.cn”，单击“确定”按钮后，你就能从弹出的图3界面中，知道“ycsti.sti.js.cn”网址的对应IP地址了。按照相同的办法，你可以轻易地查询得到其他网址的IP地址。
　　
　

　　
图3
　　
　　接着打开系统的资源管理器窗口，进入到Windows系统所在的安装目录，通常为“C:\Windows”(其中“C:”为硬盘的C分区)，然后用记事本应用程序打开一个名为“HOSTS.sam”的文件，并在其后出现的编辑窗口中输入前面整理好的网址和IP地址；当然，在输入这些内容时，一定要保证每一行内容为一条记录，每条记录只能包含网站域名、IP地址以及注释信息三部分，每一部分都需要用空格分开，而且注释部分需要以#号开头；
　　
　　此外，在正式向“HOSTS.sam”文件输入信息时，我们必须先将文档中样板内容选中后删除，再按照上面的要求在每一行依次输入一个网站的域名和IP地址以及注释内容，完成所有记录的输入操作后，再依次单击记事本编辑窗口菜单栏中的“文件”/“另存为”命令，在弹出的文件保存对话框中，输入新的文件名为“hosts”（注意，没有扩展名哟），文件保存路径还是“C:\Windows”；
　　
　　到了这里，我们其实就在本地工作站中创建了一个小型DNS解析系统，日后你一旦访问“Hosts”文件中包含的网站域名时，本地计算机就不会花时间去寻找Internet上的DNS服务器，而是直接通过本地的“Hosts”文件，来快速完成指定网站的域名解析任务，从而提高了网站访问的速度。
　　
　　4、快速查看DNS工作状况
　　
　　DNS工作状况的好坏，直接与网站访问速度的快慢有联系。要想让DNS服务器高效进行域名解析，必须要及时知道DNS工作状况，以便根据状况好坏来采取相应的维护错误。那么如何才能知道DNS服务器的当前工作状况 呢？其实很简单，你只要按照下面操作步骤就能轻松做到：
　　
　　依次单击“开始”/“程序”/“管理工具”/“DNS”命令，在弹出的DNS服务器管理控制台窗口中，用鼠标右键单击目标DNS服务器，从随后弹出的右键菜单中执行“属性”命令；
　　
　　在接着打开的DNS服务器属性设置对话框中，单击“日志”标签，然后在对应的标签页面中（如图4所示），你可以知道DNS的工作状况全部保存在下面提示的日志文件中；同时你可以在该标签页面中，设置好日志文件需要记录DNS服务在哪些方面的记录，例如是查询方面的、通知方面的，还是应答方面的；
　　
　

　　
图4
　　
　　接着打开系统的资源管理器窗口，并进入到DNS工作日志所在的子文件夹窗口中，再用鼠标双击对应的日志文件，你就能在其后出现的编辑界面中，查看到DNS在查询方面的、通知方面的、应答方面的所有记录信息，根据这些信息你就能大概地知道DNS当前的工作状况了。
　　
　　5、分解Web服务器“负担”
　　
　　大家知道，规模较大的单位局域网通常会包含许多不同的子网，如果这些不同子网的工作站，同时向其中的一台Web服务器发送访问请求的话，该Web服务器的响应速度肯定非常缓慢，严重的话能导致整个局域网发生信息堵塞现象。要想避免这种现象，我们可以在局域网中多配置几台Web服务器，让不同的Web服务器只应答本子网内的工作站访问请求，而不要随意应答来自其他子网工作站的访问请求。不过，我们该如何指定不同子网的工作站，去“智能”地访问本子网中的Web服务器，而不去自动访问其他子网中的Web服务器呢？要做到这一点，你必须对局域网中的DNS服务器进行如下的参数设置：
　　
　　依次单击“开始”/“程序”/“管理工具”/“DNS”命令，在弹出的DNS服务器管理控制台窗口中，用鼠标右键单击目标DNS服务器，从随后弹出的右键菜单中执行“属性”命令；
　　
　　在随后出现的DNS服务器属性设置界面中，单击“高级”标签，然后在图5所示的“服务器选项”设置项处，将“启用循环”复选项选中，这样就能确保多个访问请求被自动分配给不同的Web服务器了。
　　
　

　　
图5
　　
　　为了确保同一子网中的工作站访问请求，能被同一子网中的Web服务器接受，你还需要在“服务器选项”设置项处，选中“启用netmask排序”复选项，如此一来就能保证任何工作站访问请求只会被本子网中的Web服务器所接受了。
　　
　　当然，完成了上面的设置后，你还需要将不同Web服务器的主机记录添加到DNS服务器管理控制台窗口中，以便让DNS服务器能自动把访问请求分配给它们。至于如何添加Web服务器的主机记录，本文在这里就不累述了。
　　
　　6、DNS转发控制局域网上网
　　
　　局域网中的任何一台工作站需要访问到Internet上的信息，必须通过其中的DNS服务器进行域名解析。如果我们适时地让DNS服务器拒绝工作站的域名解析请求时，就能阻止工作站浏览到Internet的内容了。根据这一思路，我们完全可以借助DNS转发功能，来控制整个局域网的上网情况。下面，就让我们一起来看看如何实现对局域网上网情况进行随意控制：
　　
　　首先要确保局域网中的任何一台工作站，只能通过局域网中的特定DNS服务器，与Internet进行连接。要做到这一点，你必须确保每一工作站的网关地址，必须为局域网服务器的IP地址。在这里，假设所有工作站的上网参数事先已经设注释掉的------>Windows服务器宝典一式NS调教技巧(图)  　　在管理和维护Windows服务器的过程中，DNS服务的设置和维护是其中重要的一项“功课”，毕竟网络访问的高效与否，与DNS服务的工作性能息息相关！要让DNS服务器始终能为网络访问提供高效服务，自然少不了要掌握一些DNS服务的调教技巧。为此，本文特意总结了这方面的一些技巧，希望它们能对各位有所用处！
　　
　　1、巧妙查询DNS所用端口
　　
　　有时候需要通过防火墙，来阻止服务器随意接受任意工作站的域名解析请求；不过要能实现这个目的，需要事先知道DNS使用了什么端口，以及使用了什么通信协议，然后才能在防火墙中针对指定的端口和协议进行过滤设置。那么，如何才能快速地知道DNS服务在工作时使用的是什么通信协议以及哪个通信端口呢？为此，本文特意为你提供了如下的方法，来快速查询DNS所用端口以及通信协议：
　　
　　首先打开系统的资源管理器窗口，并进入到Windows系统所在的安装磁盘分区，再依次展开其中的“WinNt”文件夹、“system32”文件夹、“drivers”文件夹、“etc”文件夹；
　　
　　接着用鼠标右键单击“etc”文件夹子窗口中的“services”文件，从弹出的快捷菜单中执行“打开方式”命令，在随后出现的应用程序选择对话框中，选中“记事本”应用程序，并单击“确定”按钮；
　　
　　在其后出现的文本编辑界面中，依次单击工具栏中的“编辑”/“查找”命令，在打开的查找对话框中，输入关键字“Domain Name”，然后单击“查找下一个”按钮，这样你就能在编辑窗口中快速找到域名服务所使用的端口和通信协议了，如图1所示。从该界面中，你不难看出DNS所用的通信端口号码为53，使用的通信协议包括TCP协议和UDP协议。
　　
　

　　
图1
　　
　　2、快速测试DNS的能力
　　
　　大家知道，DNS服务器在进行域名解析时，通常具有简单查询和递进查询两种方式，其中通过简单查询可以知道DNS映射一个IP地址对应名称的能力大小，通过递进查询可以知道DNS映射一个名称对应IP地址的能力大小。那么，如何才能快速知道自己搭建的DNS服务器，在简单查询能力和递进查询能力都有效呢？其实很简单，你可以按照下面的步骤来操作就能知道了：
　　
　　依次单击“开始”/“程序”/“管理工具”/“DNS”命令，在弹出的DNS服务器管理控制台窗口中，用鼠标右键单击目标DNS服务器，从随后弹出的右键菜单中执行“属性”命令；
　　
　　在接着打开的DNS服务器属性设置对话框中，单击“监视”标签，并在对应的标签页面中（如图2所示），选中简单查询或递进查询测试选项，再单击“立即测试”按钮，就能对DNS服务器能力的进行测试了；
　　
　

　　
图2
　　
　　测试完毕后，你会在对应的窗口中看到具体的结果，例如一旦DNS服务器没有递进查询能力的话，测试结果就会表现为“失败”，要是DNS服务器具有简单查询功能的话，那么测试结果就会表现为“通过”。当然，如果你选中“以下列间隔进行自动测试”复选项选中，同时指定好具体的间隔时间的话，那么Windows服务器系统就会每隔一定的时间，对DNS服务器的简单查询能力或递进查询能力进行自动测试。
　　
　　3、为DNS解析提速
　　
　　输入在IE浏览器地址栏中的网址，是无法帮助我们直接获得想要的资源信息的，它必须通过DNS解析系统，转换成IP地址后才能让我们看到想要的内容。不过，网址转换成IP地址的过程是一个非常耗时的过程。如果我们能在访问某个网站之前，提前知道了它的IP地址时，就能把该IP地址直接输入在浏览器地址栏中，这样就能
　　
　　跳过层层级级寻找域名服务器的过程，显然这种方式会让访问速度大大提高。可惜的是，我们往往无法提前知道所有的网站IP地址。但是，我们还是可以通过下面的方法，对常用网站的网址进行快速解析：
　　
　　如果你使用的是Windows 98/Me系统的话，那么你可以先将平时访问的网站网址搜集起来，并借助ping命令来得到这些网址的IP地址。例如，要想得到“ycsti.sti.js.cn”网址的IP地址时，你可以依次单击“开始”/“运行”命令，在随后打开的系统运行对话框中，输入字符串命令“ping ycsti.sti.js.cn”，单击“确定”按钮后，你就能从弹出的图3界面中，知道“ycsti.sti.js.cn”网址的对应IP地址了。按照相同的办法，你可以轻易地查询得到其他网址的IP地址。
　　
　

　　
图3
　　
　　接着打开系统的资源管理器窗口，进入到Windows系统所在的安装目录，通常为“C:\Windows”(其中“C:”为硬盘的C分区)，然后用记事本应用程序打开一个名为“HOSTS.sam”的文件，并在其后出现的编辑窗口中输入前面整理好的网址和IP地址；当然，在输入这些内容时，一定要保证每一行内容为一条记录，每条记录只能包含网站域名、IP地址以及注释信息三部分，每一部分都需要用空格分开，而且注释部分需要以#号开头；
　　
　　此外，在正式向“HOSTS.sam”文件输入信息时，我们必须先将文档中样板内容选中后删除，再按照上面的要求在每一行依次输入一个网站的域名和IP地址以及注释内容，完成所有记录的输入操作后，再依次单击记事本编辑窗口菜单栏中的“文件”/“另存为”命令，在弹出的文件保存对话框中，输入新的文件名为“hosts”（注意，没有扩展名哟），文件保存路径还是“C:\Windows”；
　　
　　到了这里，我们其实就在本地工作站中创建了一个小型DNS解析系统，日后你一旦访问“Hosts”文件中包含的网站域名时，本地计算机就不会花时间去寻找Internet上的DNS服务器，而是直接通过本地的“Hosts”文件，来快速完成指定网站的域名解析任务，从而提高了网站访问的速度。
　　
　　4、快速查看DNS工作状况
　　
　　DNS工作状况的好坏，直接与网站访问速度的快慢有联系。要想让DNS服务器高效进行域名解析，必须要及时知道DNS工作状况，以便根据状况好坏来采取相应的维护错误。那么如何才能知道DNS服务器的当前工作状况 呢？其实很简单，你只要按照下面操作步骤就能轻松做到：
　　
　　依次单击“开始”/“程序”/“管理工具”/“DNS”命令，在弹出的DNS服务器管理控制台窗口中，用鼠标右键单击目标DNS服务器，从随后弹出的右键菜单中执行“属性”命令；
　　
　　在接着打开的DNS服务器属性设置对话框中，单击“日志”标签，然后在对应的标签页面中（如图4所示），你可以知道DNS的工作状况全部保存在下面提示的日志文件中；同时你可以在该标签页面中，设置好日志文件需要记录DNS服务在哪些方面的记录，例如是查询方面的、通知方面的，还是应答方面的；
　　
　

　　
图4
　　
　　接着打开系统的资源管理器窗口，并进入到DNS工作日志所在的子文件夹窗口中，再用鼠标双击对应的日志文件，你就能在其后出现的编辑界面中，查看到DNS在查询方面的、通知方面的、应答方面的所有记录信息，根据这些信息你就能大概地知道DNS当前的工作状况了。
　　
　　5、分解Web服务器“负担”
　　
　　大家知道，规模较大的单位局域网通常会包含许多不同的子网，如果这些不同子网的工作站，同时向其中的一台Web服务器发送访问请求的话，该Web服务器的响应速度肯定非常缓慢，严重的话能导致整个局域网发生信息堵塞现象。要想避免这种现象，我们可以在局域网中多配置几台Web服务器，让不同的Web服务器只应答本子网内的工作站访问请求，而不要随意应答来自其他子网工作站的访问请求。不过，我们该如何指定不同子网的工作站，去“智能”地访问本子网中的Web服务器，而不去自动访问其他子网中的Web服务器呢？要做到这一点，你必须对局域网中的DNS服务器进行如下的参数设置：
　　
　　依次单击“开始”/“程序”/“管理工具”/“DNS”命令，在弹出的DNS服务器管理控制台窗口中，用鼠标右键单击目标DNS服务器，从随后弹出的右键菜单中执行“属性”命令；
　　
　　在随后出现的DNS服务器属性设置界面中，单击“高级”标签，然后在图5所示的“服务器选项”设置项处，将“启用循环”复选项选中，这样就能确保多个访问请求被自动分配给不同的Web服务器了。
　　
　

　　
图5
　　
　　为了确保同一子网中的工作站访问请求，能被同一子网中的Web服务器接受，你还需要在“服务器选项”设置项处，选中“启用netmask排序”复选项，如此一来就能保证任何工作站访问请求只会被本子网中的Web服务器所接受了。
　　
　　当然，完成了上面的设置后，你还需要将不同Web服务器的主机记录添加到DNS服务器管理控制台窗口中，以便让DNS服务器能自动把访问请求分配给它们。至于如何添加Web服务器的主机记录，本文在这里就不累述了。
　　
　　6、DNS转发控制局域网上网
　　
　　局域网中的任何一台工作站需要访问到Internet上的信息，必须通过其中的DNS服务器进行域名解析。如果我们适时地让DNS服务器拒绝工作站的域名解析请求时，就能阻止工作站浏览到Internet的内容了。根据这一思路，我们完全可以借助DNS转发功能，来控制整个局域网的上网情况。下面，就让我们一起来看看如何实现对局域网上网情况进行随意控制：
　　
　　首先要确保局域网中的任何一台工作站，只能通过局域网中的特定DNS服务器，与Internet进行连接。要做到这一点，你必须确保每一工作站的网关地址，必须为局域网服务器的IP地址。在这里，假设所有工作站的上网参数事先已经设

---

作者: 童话    时间: 2006-5-22 09:37

微软交流：关于DNS的不完全总结
　　几年前第一次接触到活动目录的时候，正是领导要求部署活动目录的时候。虽然当时手头上有几本书，但是时间紧迫没有来得及仔细研究。边看着帮助边运行dcpromo就开始活动目录的部署了，相信不少人和我当年差不多，稀里糊涂的就开始当起了活动目录的管理员。对于DNS，因为安装会提示自动部署，相信很多人都不会在这方面下很多功夫（包括我原来也是）。我为此付出了不少代价－－因为不懂DNS所以遇到DNS的问题不知如何解决。我有保存论坛上感兴趣帖子的习惯（显然直接另存是保存不下来的），我保存有关DNS问题的帖子数量，占各种问题的第三位（我也很吃惊）。
　　
　　但是论坛上也没有很系统的关于DNS的总结（这毕竟是一个可以写成一本书的很大的方面）。我通过对自己收藏的帖子和参考书的阅读，加上自己经验的总结得出一些操作方面的结论和总结。希望对大家能有所帮助，因为我不擅长DNS（在论坛上我也很少给朋友解决DNS问题），所以我想肯定有我写错的地方，我希望斑竹们能帮忙校正。我的真正目的是通过这篇文章认识到我在DNS方面都存在哪些误解（我还是挺有私心的）。
　　
　　闲话少说，书归正传。
　　
　　有过DNS域部署经验的朋友都能感觉到，活动目录的DNS、DHCP和WINS（用的不多了）和NetBios是息息相关的。也是很容易混淆的。所以很麻烦，通常我们开始部署AD的时候是在一个小公司里，大约有几十台电脑的局域网。人员流动不是很频繁，所以的电脑也差不多的天天都开。很少有电脑会换地方，我们全都使用DNS的默认配置就可以很少会出问题。但这样的地方我们不能待一辈子，我们来到一个相对复杂的网络环境时，意识到自己缺乏对DNS的起码常识，怎么办？　为了在遇到难题时能正确表述自己的问题（否则别人想帮你都没办法，除了UP我们更重要的是说清楚自己的问题和听明白高手的意思）那么和我一样从基础开始吧。
　　
　　什么样的DNS系统是一个比较完美的系统呢？DNS服务器的连续性能提供出色的性能，减少WAN的通信，安全性也必须得到保障。
　　
　　我们先从概念开始
　　
　　1.DNS和活动目录关系
　　
　　DNS定义“命名空间”（名字空间）－－－微软把例如“contoso.com”的东东叫命名空间，这个空间内的主机储存在一个“区域文件”（zone file）里－－－主要是一种映射的关系（中学数学就有映射的概念）
　　
　　活动目录的域（domain）“存储域和域中的对象”，把用户、租计算机帐户记录组注册表的SAM里。－－－当然域不止这些内容。
　　
　　DNS和域的结合－－完全合格域名（FQDN）：例如srv1.contoso.com－－说明了srv1主机位于contoso.com这个域里面。
　　
　　注意：
　　
　　DNS的结构中，顶级域com.的末尾是有一个句点"."的。DNS解析器是从左到右解析FDQN（看看上面FDQN的例子）的，最后到“.”结束。因为windows的DNS会自动在末尾添加“.”所以我们很容易忘了它的存在，在我们检测DNS（尤其是命令行方式）最好加上末尾的这个"."正因为根域上有这个点，所以我们在林根的DNS上设置转发的时候会发现那个转发器的选现是灰的，不让你设置，因为"."认为自己是根了，没必要转发。所以解决的方法是删掉这个点，才能转发（删掉后就不会灰色可以选择转发了）。
　　
　　如果没有行政方面的要求你完全可以在域里使用例如devil.coco的域名称，不一定非要.net或者.com.即使父域叫contoso.com，子域也可以叫devil.coco。
　　
　　当一个企业在做DNS规划时要注意。当企业外部服务（例如网站）需要在internet上注册名称（例如，公司.com）。如果企业内部使用活动目录，那么要使内外部使用不同的名字或者内部的活动目录使用外部名称的一个子域。例如：“contoso.com”，作为企业在internet上的网站，使用
www.contoso.com
域名。内部的域可以使用contoso.net或者corp.contoso.com作为DNS名。如果不这么做将有可能使内部和外部名称空间出现重叠。客户端登陆域或访问internet都将可能产生问题。尤其当涉及网络地址转换 (NAT) 并且外部 IP 地址处于内部客户端够不到的范围中时就会有麻烦了(了解NAT 的 人应该知道,如果客户端不配置可以正确解析外部地址的DNS是无法访问相关网站的.)。
　　
　　DNS和活动目录使用各自不同的数据库解析名字。关于这一点我觉得对于实际操作意义不大所以不说了有兴趣的看看上面提到的那个帖子。
　　
　　2.hosts文件
　　
　　很多帖子里都有人回复说，看看那个hosts文件有没有问题，或者说修改那个hosts文件里的什么地方（例如屏蔽QQ）。这是为什么？
　　
　　hosts存在的目的：减少DNS服务器的工作量，如果客户端查找的一个主机名在hosts文件里有记录（说明不久前访问过），那么客户端就不必找DNS服务器了直接就知道了该主机的IP。我们可以用记事本打开hosts文件。找不到？一般在这里C:\WINDOWS\system32\drivers\etc 这里除了hosts还有好几个文件，也能用记事本打开。都是和TCP/IP相关的，详细我就不说了跟DNS关系不大。
　　
　　TTL（生存时间），DNS记录必须有TTL，Hosts中得缓存超过了ttl就将被删除，否则DNS得改变将无法在hosts文件中体现。
　　
　　我们需要一个具体的例子：
　　
　　有天，客户发现srv1.contoso.com主机无法访问了，我们查看DNS表，发现确实没有相关A记录了。我们手动添加了记录，但是客户还是抱怨无法访问该主机――因为客户端的缓存里里，还是认为该主机无法访问。这时我们就必须在客户的电脑上运行ipconfig/ flushdns 来清除缓存信息。是的，服务器也有缓存。服务器清理缓存的命令是dnscmd /clearcache
　　
　　3．主DNS服务器和辅助名称服务器
　　
　　这个概念在论坛上也无数次的被提起，我觉得还是有必要说明一下的。照例我不会用很专业的词汇，需要考MCSE的朋友最好不要看我写的东西。
　　
　　我是这样认为的，DNS服务器把所有资源记录到一个文件中（zone file）。只有“主DNS服务器”能对该文件进行写操作（能修改DNS记录），辅助DNS服务器从主DNS服务器（或者其他辅助DNS服务器）那里获得该文件的拷贝（默认24小时得不到拷贝的话，辅助DNS服务器就将失效）。
　　
　　除此之外还有一种“仅缓存名称服务器”（caching－only name server），它上面仅保存缓存的查询结果（从辅助DNS服务器那里获得），以便使客户端尽快获得查询信息。
　　
　　这种机制让人想起NT时代的主域控制器和备份域控制器――当然这是一种脆弱的机制。微软为了能多凑合一些时间，允许任何运行DNS的DC都能被设置为它所在域的主DNS服务器。
　　
　　4．权威性应答与非权威性应答
　　
　　按照我的理解，如果DNS服务器在自己的区域文件里找到了客户端需要查询的记录，就会返回一个权威性应答。―――例如客户端要查找srv1. contoso.com主机的IP地址。在contoso.com的DC（也就是DNS服务器）上查找该主机的“A记录”，我们找到了。就把记录内容通过DNS应答的方式发还给客户端，这就是一个权威性应答。――当然实际的查询方式比较复杂远没有我说的这么简单。
　　
　　此外，如果DNS服务器最近被查找过该主机（可能其他客户端也查找过）记录，就会在缓存里找到记录应答客户端――当然上一种方法快。
　　
　　如果该DC服务器找不到srv1. contoso.com主机的A记录，就会返回（Record Not Found）应答――同样也是权威性应答
　　
　　如果接到DNS查询请求的服务器不是contoso.com的DC（Dns服务器），那么有3种方法处理该请求：
　　
　　首先，查询其他DNS服务器直到找到，然后此服务器将找到的内容返回给客户端――非权威性应答
　　
　　其次，推荐客户端到上一级DNS服务器找。―――非权威性应答。
　　
　　最后，如果原来被别人访问过，本地有该缓存，那么用缓存里的数据回答―――非权威性应答。
　　
　　说到这里就要讲清楚，为什么会出现3种方法，为什么有的时候DNS服务器要努力帮客户端查寻有的时候又只是打发到上层就不管了？
　　
　　因为在客户端查询的请求里面包含一个“搜索类型”（Search type）的东东，一共有两种状态：
　　
　　(1) 递归查询（Recursive），要求DNS服务器一定要救人救到底送佛送上西。反正我就赖上你了，你得给我查到。
　　
　　(2) 迭代查询（Iterative），你（DNS服务器）如果找不到可以给我介绍到另一个DNS服务器那里去找――这种方式的客户端就文明多了――自然DNS服务器的压力就减轻了。
　　
　　默认情况是递归查询的，我们可以在DNS服务器参数配置禁用（高级选项）。
　　
　　当DNS服务器被客户端要求递归查询而去查询其他DNS服务器时，默认是迭代查询的。
　　
　　5.Netbios解析和DNS解析
　　
　　对于两者的概念我不想多做说明了，值得注意得是他们的查询步骤。
　　
　　假定我们启用了Netbios解析，windows客户端会按照下面的步骤进行解析（默认B节点配置可以修改为H节点）
　　
　　（1） Netbios缓存
　　
　　（2） Wins查询
　　
　　（3） Lmhosts文件（看看hosts的目录）
　　
　　（4） 广播
　　
　　（5） hosts文件
　　
　　（6） DNS
　　
　　我们举个例子，如果我们在客户端ping一下srv1.contoso.com主机。我们通常的做法是运行cmd。输入ping srv1 回车。这时发生了什么？
　　
　　首先，客户端会把计算机的DNS后缀附在名称上发送到DNS服务器。　如果名字里有“.”存在，但是末尾并没有“.”结束，系统会自动追加末尾“.”，如果这样查询也失败了，就会向上面那样追加DNS后缀再试。　如果添加DNS后缀也无法获得主机记录，那么系统就会追加事先为“接口”配置好得备用DNS后缀（仔细看看本地连接的属性）。注释掉的------>微软交流：关于DNS的不完全总结
　　几年前第一次接触到活动目录的时候，正是领导要求部署活动目录的时候。虽然当时手头上有几本书，但是时间紧迫没有来得及仔细研究。边看着帮助边运行dcpromo就开始活动目录的部署了，相信不少人和我当年差不多，稀里糊涂的就开始当起了活动目录的管理员。对于DNS，因为安装会提示自动部署，相信很多人都不会在这方面下很多功夫（包括我原来也是）。我为此付出了不少代价－－因为不懂DNS所以遇到DNS的问题不知如何解决。我有保存论坛上感兴趣帖子的习惯（显然直接另存是保存不下来的），我保存有关DNS问题的帖子数量，占各种问题的第三位（我也很吃惊）。
　　
　　但是论坛上也没有很系统的关于DNS的总结（这毕竟是一个可以写成一本书的很大的方面）。我通过对自己收藏的帖子和参考书的阅读，加上自己经验的总结得出一些操作方面的结论和总结。希望对大家能有所帮助，因为我不擅长DNS（在论坛上我也很少给朋友解决DNS问题），所以我想肯定有我写错的地方，我希望斑竹们能帮忙校正。我的真正目的是通过这篇文章认识到我在DNS方面都存在哪些误解（我还是挺有私心的）。
　　
　　闲话少说，书归正传。
　　
　　有过DNS域部署经验的朋友都能感觉到，活动目录的DNS、DHCP和WINS（用的不多了）和NetBios是息息相关的。也是很容易混淆的。所以很麻烦，通常我们开始部署AD的时候是在一个小公司里，大约有几十台电脑的局域网。人员流动不是很频繁，所以的电脑也差不多的天天都开。很少有电脑会换地方，我们全都使用DNS的默认配置就可以很少会出问题。但这样的地方我们不能待一辈子，我们来到一个相对复杂的网络环境时，意识到自己缺乏对DNS的起码常识，怎么办？　为了在遇到难题时能正确表述自己的问题（否则别人想帮你都没办法，除了UP我们更重要的是说清楚自己的问题和听明白高手的意思）那么和我一样从基础开始吧。
　　
　　什么样的DNS系统是一个比较完美的系统呢？DNS服务器的连续性能提供出色的性能，减少WAN的通信，安全性也必须得到保障。
　　
　　我们先从概念开始
　　
　　1.DNS和活动目录关系
　　
　　DNS定义“命名空间”（名字空间）－－－微软把例如“contoso.com”的东东叫命名空间，这个空间内的主机储存在一个“区域文件”（zone file）里－－－主要是一种映射的关系（中学数学就有映射的概念）
　　
　　活动目录的域（domain）“存储域和域中的对象”，把用户、租计算机帐户记录组注册表的SAM里。－－－当然域不止这些内容。
　　
　　DNS和域的结合－－完全合格域名（FQDN）：例如srv1.contoso.com－－说明了srv1主机位于contoso.com这个域里面。
　　
　　注意：
　　
　　DNS的结构中，顶级域com.的末尾是有一个句点"."的。DNS解析器是从左到右解析FDQN（看看上面FDQN的例子）的，最后到“.”结束。因为windows的DNS会自动在末尾添加“.”所以我们很容易忘了它的存在，在我们检测DNS（尤其是命令行方式）最好加上末尾的这个"."正因为根域上有这个点，所以我们在林根的DNS上设置转发的时候会发现那个转发器的选现是灰的，不让你设置，因为"."认为自己是根了，没必要转发。所以解决的方法是删掉这个点，才能转发（删掉后就不会灰色可以选择转发了）。
　　
　　如果没有行政方面的要求你完全可以在域里使用例如devil.coco的域名称，不一定非要.net或者.com.即使父域叫contoso.com，子域也可以叫devil.coco。
　　
　　当一个企业在做DNS规划时要注意。当企业外部服务（例如网站）需要在internet上注册名称（例如，公司.com）。如果企业内部使用活动目录，那么要使内外部使用不同的名字或者内部的活动目录使用外部名称的一个子域。例如：“contoso.com”，作为企业在internet上的网站，使用

www.contoso.com

域名。内部的域可以使用contoso.net或者corp.contoso.com作为DNS名。如果不这么做将有可能使内部和外部名称空间出现重叠。客户端登陆域或访问internet都将可能产生问题。尤其当涉及网络地址转换 (NAT) 并且外部 IP 地址处于内部客户端够不到的范围中时就会有麻烦了(了解NAT 的 人应该知道,如果客户端不配置可以正确解析外部地址的DNS是无法访问相关网站的.)。
　　
　　DNS和活动目录使用各自不同的数据库解析名字。关于这一点我觉得对于实际操作意义不大所以不说了有兴趣的看看上面提到的那个帖子。
　　
　　2.hosts文件
　　
　　很多帖子里都有人回复说，看看那个hosts文件有没有问题，或者说修改那个hosts文件里的什么地方（例如屏蔽QQ）。这是为什么？
　　
　　hosts存在的目的：减少DNS服务器的工作量，如果客户端查找的一个主机名在hosts文件里有记录（说明不久前访问过），那么客户端就不必找DNS服务器了直接就知道了该主机的IP。我们可以用记事本打开hosts文件。找不到？一般在这里C:\WINDOWS\system32\drivers\etc 这里除了hosts还有好几个文件，也能用记事本打开。都是和TCP/IP相关的，详细我就不说了跟DNS关系不大。
　　
　　TTL（生存时间），DNS记录必须有TTL，Hosts中得缓存超过了ttl就将被删除，否则DNS得改变将无法在hosts文件中体现。
　　
　　我们需要一个具体的例子：
　　
　　有天，客户发现srv1.contoso.com主机无法访问了，我们查看DNS表，发现确实没有相关A记录了。我们手动添加了记录，但是客户还是抱怨无法访问该主机――因为客户端的缓存里里，还是认为该主机无法访问。这时我们就必须在客户的电脑上运行ipconfig/ flushdns 来清除缓存信息。是的，服务器也有缓存。服务器清理缓存的命令是dnscmd /clearcache
　　
　　3．主DNS服务器和辅助名称服务器
　　
　　这个概念在论坛上也无数次的被提起，我觉得还是有必要说明一下的。照例我不会用很专业的词汇，需要考MCSE的朋友最好不要看我写的东西。
　　
　　我是这样认为的，DNS服务器把所有资源记录到一个文件中（zone file）。只有“主DNS服务器”能对该文件进行写操作（能修改DNS记录），辅助DNS服务器从主DNS服务器（或者其他辅助DNS服务器）那里获得该文件的拷贝（默认24小时得不到拷贝的话，辅助DNS服务器就将失效）。
　　
　　除此之外还有一种“仅缓存名称服务器”（caching－only name server），它上面仅保存缓存的查询结果（从辅助DNS服务器那里获得），以便使客户端尽快获得查询信息。
　　
　　这种机制让人想起NT时代的主域控制器和备份域控制器――当然这是一种脆弱的机制。微软为了能多凑合一些时间，允许任何运行DNS的DC都能被设置为它所在域的主DNS服务器。
　　
　　4．权威性应答与非权威性应答
　　
　　按照我的理解，如果DNS服务器在自己的区域文件里找到了客户端需要查询的记录，就会返回一个权威性应答。―――例如客户端要查找srv1. contoso.com主机的IP地址。在contoso.com的DC（也就是DNS服务器）上查找该主机的“A记录”，我们找到了。就把记录内容通过DNS应答的方式发还给客户端，这就是一个权威性应答。――当然实际的查询方式比较复杂远没有我说的这么简单。
　　
　　此外，如果DNS服务器最近被查找过该主机（可能其他客户端也查找过）记录，就会在缓存里找到记录应答客户端――当然上一种方法快。
　　
　　如果该DC服务器找不到srv1. contoso.com主机的A记录，就会返回（Record Not Found）应答――同样也是权威性应答
　　
　　如果接到DNS查询请求的服务器不是contoso.com的DC（Dns服务器），那么有3种方法处理该请求：
　　
　　首先，查询其他DNS服务器直到找到，然后此服务器将找到的内容返回给客户端――非权威性应答
　　
　　其次，推荐客户端到上一级DNS服务器找。―――非权威性应答。
　　
　　最后，如果原来被别人访问过，本地有该缓存，那么用缓存里的数据回答―――非权威性应答。
　　
　　说到这里就要讲清楚，为什么会出现3种方法，为什么有的时候DNS服务器要努力帮客户端查寻有的时候又只是打发到上层就不管了？
　　
　　因为在客户端查询的请求里面包含一个“搜索类型”（Search type）的东东，一共有两种状态：
　　
　　(1) 递归查询（Recursive），要求DNS服务器一定要救人救到底送佛送上西。反正我就赖上你了，你得给我查到。
　　
　　(2) 迭代查询（Iterative），你（DNS服务器）如果找不到可以给我介绍到另一个DNS服务器那里去找――这种方式的客户端就文明多了――自然DNS服务器的压力就减轻了。
　　
　　默认情况是递归查询的，我们可以在DNS服务器参数配置禁用（高级选项）。
　　
　　当DNS服务器被客户端要求递归查询而去查询其他DNS服务器时，默认是迭代查询的。
　　
　　5.Netbios解析和DNS解析
　　
　　对于两者的概念我不想多做说明了，值得注意得是他们的查询步骤。
　　
　　假定我们启用了Netbios解析，windows客户端会按照下面的步骤进行解析（默认B节点配置可以修改为H节点）
　　
　　（1） Netbios缓存
　　
　　（2） Wins查询
　　
　　（3） Lmhosts文件（看看hosts的目录）
　　
　　（4） 广播
　　
　　（5） hosts文件
　　
　　（6） DNS
　　
　　我们举个例子，如果我们在客户端ping一下srv1.contoso.com主机。我们通常的做法是运行cmd。输入ping srv1 回车。这时发生了什么？
　　
　　首先，客户端会把计算机的DNS后缀附在名称上发送到DNS服务器。　如果名字里有“.”存在，但是末尾并没有“.”结束，系统会自动追加末尾“.”，如果这样查询也失败了，就会向上面那样追加DNS后缀再试。　如果添加DNS后缀也无法获得主机记录，那么系统就会追加事先为“接口”配置好得备用DNS后缀（仔细看看本地连接的属性）。

---

作者: 童话    时间: 2006-5-22 09:38

资深网管教你如何操作DNS最安全(图)
　　DNS 是域名系统 (Domain Name System) 的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。域名系统 (DNS) 最初被设计为开放式协议，因此，很容易受到攻击者攻击。Windows 2003 DNS 已经对该性能做了改进，可通过添加安全功能防止对于 DNS 结构的攻击。我们首先要了解对于 DNS 安全性的常见威胁与企业的 DNS 安全选择级别，然后才能选择具体的安全措施。
　　
　　1、DNS 安全威胁
　　
　　下面是攻击者对于 DNS 结构进行威胁的常见方式：
　　
　　“跟踪”是攻击者通过它获取 DNS 区域数据的过程，以便为攻击者提供敏感网络资源的 DNS 域名、计算机名和 IP 地址。攻击者通常使用该 DNS 数据图解或跟踪网络，开始攻击。DNS 域和计算机名通常指明某个域或计算机的功能或位置，以帮助用户轻松记住与标识域和计算机。攻击者利用相同的 DNS 原则了解网络中的域和计算机的功能和位置。
　　
　　“拒绝服务攻击”是当攻击者试图使网络中的一个或多个 DNS 服务器塞满递归查询而拒绝提供网络服务。当 DNS 服务器塞满查询时，其 CPU 使用率将达到其最大值，DNS 服务器服务将变得不可用。网络上没有能够运行的 DNS 服务器时，使用 DNS 的网络服务对于网络用户将不可用。
　　
　　“数据修改”是攻击者（使用 DNS 跟踪网络的人）进行的一种尝试，即使用攻击者创建的 IP 数据包中的有效 IP 地址，从而使得这些数据包看起来来自网络的有效 IP 地址。这通常称为 IP 欺骗。通过有效的 IP 地址（子网的 IP 地址范围内的一个 IP 地址），攻击者可获取对于网络的访问权并毁坏数据或执行其他攻击。
　　
　　“重定向”是攻击者能够将 DNS 名称查询重定向到攻击者控制的服务器。重定向的一种方法包括尝试使用使用可能将未来查询定向到攻击者控制下的服务器的错误 DNS 数据来污染 DNS 高速缓存。每当攻击者对于 DNS 数据拥有写权限（例如，使用不保护动态更新的安全）时，可完成重定向。
　　
　　2、减轻 DNS 安全威胁
　　
　　可对 DNS 进行配置，以减轻上述常见 DNS 安全问题。下表1列出了确定 DNS 安全性时关注的五个主要区域。
　　
　

　　
表1
　　
　　下面是DNS的三种安全级别，我们可根据单位实际情况，选择DNS 安全配置级别，增加企业的 DNS 安全性。
　　
　　1、低级安全性
　　
　　低级安全性是一种标准的 DNS 部署，不配置任何安全预防措施。只在不关心 DNS 数据的完整性的网络环境或不存在外部连接威胁的专用网络中才部署该级 DNS 安全性。
　　
　　企业的 DNS 结构完全暴露给 Internet。
　　
　　标准 DNS 解决方案是由企业网络中的所有 DNS 服务器执行的。
　　
　　所有 DNS 服务器都配置有指向 Internet 的根提示的根服务器。
　　
　　所有 DNS 服务器都允许向任何服务器进行区域传输。
　　
　　所有 DNS 服务器都配置为侦听其所有 IP 地址。
　　
　　在所有 DNS 服务器上禁用防止缓存污染。
　　
　　允许对所有 DNS 区域进行动态更新。
　　
　　用户数据报协议 (UDP) 和传输控制协议/Internet 协议 (TCP/IP) 端口 53 在企业网络的源和目标地址的防火墙上处于打开状态。
　　
　　2、中级安全性
　　
　　中级安全性使用可用的 DNS 安全功能，不在域控制器上运行 DNS 服务器，也不在 Active Directory 中存储 DNS 区域。
　　
　　企业的 DNS 结构有限暴露给 Internet。
　　
　　所有 DNS 服务器在本地都无法解析名称时，将其配置为使用转发器指向内部 DNS 服务器的特定列表。
　　
　　所有 DNS 服务器都将区域传输限制为其区域中的名称服务器 (NS) 资源记录中列出的服务器。
　　
　　配置 DNS 服务器在指定的 IP 地址上侦听。
　　
　　在所有 DNS 服务器上已启用缓存污染防止。
　　
　　不允许对任何 DNS 区域进行动态更新。
　　
　　内部 DNS 服务器通过防火墙与外部 DNS 服务器通信，该防火墙具有所允许的源和目标地址的有限列表。
　　
　　防火墙前方的外部 DNS 服务器都配置有指向 Internet 的根服务器的根提示。
　　
　　所有 Internet 名称解析都使用代理服务器和网关执行。
　　
　　3、高级安全性
　　
　　高级安全性使用与中级安全性相同的配置，DNS 服务器服务在域控制器上运行且 DNS 区域存储在 Active Directory 中时，也使用可用的安全功能。此外，高级安全性还完全取消了与 Internet 的 DNS 通信。这不是通常使用的配置，但是，每当不需要 Internet 连接时，则建议使用该配置。
　　
　　企业的 DNS 结构不通过内部 DNS 服务器与 Internet 通信。
　　
　　企业网络使用内部 DNS 根目录和名称空间，其中对于 DNS 区域的所有权限都是内部的。
　　
　　配置为使用转发器的 DNS 服务器只使用内部 DNS 服务器 IP 地址。
　　
　　所有 DNS 服务器都将区域传输限制为指定的 IP 地址。
　　
　　配置 DNS 服务器在指定的 IP 地址上侦听。
　　
　　在所有 DNS 服务器上已启用缓存污染防止。
　　
　　内部 DNS 服务器都配置有指向内部 DNS 服务器的根提示，这些服务器主持企业内部名称空间的根目录区域。
　　
　　所有 DNS 服务器都在域控制器上运行。DNS 服务器服务上配置有随机访问控制列表 (DACL)，只允许特定个人在 DNS 服务器上执行管理任务。
　　
　　所有 DNS 区域都存储在 Active Directory 中。DACL 配置为只允许特定个人创建、删除或修改 DNS 区域。
　　
　　DNS 资源记录上的 DACL 被配置为只允许特定个人创建、删除或修改 DNS 数据。
　　
　　为 DNS 区域配置了安全的动态更新，顶级和根目录区域除外，它们根本不允许进行动态更新。
　　
　　1、保证 DNS 部署的安全
　　
　　设计 DNS 服务器部署时，应采用下列 DNS 安全准则：
　　
　　如果不需要企业网络主机来解析 Internet 上的名称，应取消与 Internet 的 DNS 通信。
　　
　　在该 DNS 设计中，可使用企业网络中完全主持的专用 DNS 名称空间。专用 DNS 名称空间的分发与 Internet DNS 名称空间的分发相同，内部 DNS 服务器为根域和顶级域主持区域。
　　
　　在防火墙后面的内部 DNS 服务器和防火墙前面的外部 DNS 服务器间分割企业单位的 DNS 名称空间。
　　
　　在该 DNS 设计中，企业内部 DNS 名称空间是外部 DNS 名称空间的子域。例如，如果企业单位的 Internet DNS 名称空间是 ghq.com，企业网络的内部 DNS 名称空间是 corp.ghq.com。
　　
　　在内部 DNS 服务器上主持内部 DNS 名称空间，在暴露给 Internet 的外部 DNS 服务器上主持外部 DNS 服务器。
　　
　　要解析内部主机进行的外部名称查询，内部 DNS 服务器会将外部名称查询转发给外部 DNS 服务器。外部主机只使用外部 DNS 服务器进行 Internet 名称解析。
　　
　　配置数据包筛选防火墙，以便只允许在外部 DNS 服务器和单一内部 DNS 服务器间进行 UDP 和 TCP 端口 53 通信。
　　
　　这将便于内部和外部 DNS 服务器间的通信，并可防止任何其他外部计算机获取对于内部 DNS 名称空间的访问权。
　　
　　2、保护 DNS 服务器服务
　　
　　要保护企业网络中的 DNS 服务器的安全，请采用下列准则：
　　
　　检查并配置影响安全性的默认 DNS 服务器服务设置DNS 服务器服务配置选项对于标准和集成了 Active Directory 的 DNS 服务器服务具有安全意义。（如表2所示）
　　
　

　　
表2
　　
　　管理域控制器上运行的 DNS 服务器上的随机访问控制列表 (DACL) ，除了影响上述安全性的默认 DNS 服务器服务设置外，配置为域控制器的 DNS 服务器使用 DACL。DACL 允许您控制对于控制 DNS 服务器服务的 Active Directory 用户和组的权限。下表3列出了在域控制器上运行时，对于 DNS 服务器服务的默认组或用户名和权限。
　　

　　
表3
　　
　　DNS 服务器服务在域控制器上运行时，可使用 Active Directory 对象 Microsoft DNS 管理该服务的 DACL。在 Microsoft DNS Active Directory 对象上配置 DACL 与在 DNS 控制台中的 DNS 服务器上配置 DACL 效果相同，建议采用后一种方法。这样，Active Directory 对象和 DNS 服务器的安全管理员应直接联系，以确保管理员不会颠倒彼此的安全设置。
　　
　　应将 NTFS 文件系统始终用于运行 Windows Server 2003 操作系统的 DNS 服务器。NTFS 文件系统比 FAT 和 FAT32 文件系统功能强大，并能提供包括 Active Directory 的各种功能，Active Directory 是域、用户帐户和其他重要安全功能所需要的。
　　
　　3、保护 DNS 区域
　　
　　DNS 区域配置选项对于标准和集成了 Active Directory 的 DNS 区域具有安全意义：
　　
　　配置安全的动态更新。
　　
　　默认情况下，“动态更新”设置未被配置为允许动态更新。这是最安全的设置，因为它能够防止攻击者更新 DNS 区域，但是，该设置也可阻止您利用动态更新所提供的管理优势。要使计算机安全更新 DNS 数据，应将 DNS 区域存储在 Active Directory 中，并使用安全的动态更新功能。安全的动态更新将 DNS 区域更新限制为只更新已验证且已加入 DNS 服务器所在的 Active Directory 域的那些计算机，同时还限制为更新 DNS 区域的 ACL 中定义的特定安全设置。
　　
　　限制区域传输注释掉的------>资深网管教你如何操作DNS最安全(图)
　　DNS 是域名系统 (Domain Name System) 的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。域名系统 (DNS) 最初被设计为开放式协议，因此，很容易受到攻击者攻击。Windows 2003 DNS 已经对该性能做了改进，可通过添加安全功能防止对于 DNS 结构的攻击。我们首先要了解对于 DNS 安全性的常见威胁与企业的 DNS 安全选择级别，然后才能选择具体的安全措施。
　　
　　1、DNS 安全威胁
　　
　　下面是攻击者对于 DNS 结构进行威胁的常见方式：
　　
　　“跟踪”是攻击者通过它获取 DNS 区域数据的过程，以便为攻击者提供敏感网络资源的 DNS 域名、计算机名和 IP 地址。攻击者通常使用该 DNS 数据图解或跟踪网络，开始攻击。DNS 域和计算机名通常指明某个域或计算机的功能或位置，以帮助用户轻松记住与标识域和计算机。攻击者利用相同的 DNS 原则了解网络中的域和计算机的功能和位置。
　　
　　“拒绝服务攻击”是当攻击者试图使网络中的一个或多个 DNS 服务器塞满递归查询而拒绝提供网络服务。当 DNS 服务器塞满查询时，其 CPU 使用率将达到其最大值，DNS 服务器服务将变得不可用。网络上没有能够运行的 DNS 服务器时，使用 DNS 的网络服务对于网络用户将不可用。
　　
　　“数据修改”是攻击者（使用 DNS 跟踪网络的人）进行的一种尝试，即使用攻击者创建的 IP 数据包中的有效 IP 地址，从而使得这些数据包看起来来自网络的有效 IP 地址。这通常称为 IP 欺骗。通过有效的 IP 地址（子网的 IP 地址范围内的一个 IP 地址），攻击者可获取对于网络的访问权并毁坏数据或执行其他攻击。
　　
　　“重定向”是攻击者能够将 DNS 名称查询重定向到攻击者控制的服务器。重定向的一种方法包括尝试使用使用可能将未来查询定向到攻击者控制下的服务器的错误 DNS 数据来污染 DNS 高速缓存。每当攻击者对于 DNS 数据拥有写权限（例如，使用不保护动态更新的安全）时，可完成重定向。
　　
　　2、减轻 DNS 安全威胁
　　
　　可对 DNS 进行配置，以减轻上述常见 DNS 安全问题。下表1列出了确定 DNS 安全性时关注的五个主要区域。
　　
　

　　
表1
　　
　　下面是DNS的三种安全级别，我们可根据单位实际情况，选择DNS 安全配置级别，增加企业的 DNS 安全性。
　　
　　1、低级安全性
　　
　　低级安全性是一种标准的 DNS 部署，不配置任何安全预防措施。只在不关心 DNS 数据的完整性的网络环境或不存在外部连接威胁的专用网络中才部署该级 DNS 安全性。
　　
　　企业的 DNS 结构完全暴露给 Internet。
　　
　　标准 DNS 解决方案是由企业网络中的所有 DNS 服务器执行的。
　　
　　所有 DNS 服务器都配置有指向 Internet 的根提示的根服务器。
　　
　　所有 DNS 服务器都允许向任何服务器进行区域传输。
　　
　　所有 DNS 服务器都配置为侦听其所有 IP 地址。
　　
　　在所有 DNS 服务器上禁用防止缓存污染。
　　
　　允许对所有 DNS 区域进行动态更新。
　　
　　用户数据报协议 (UDP) 和传输控制协议/Internet 协议 (TCP/IP) 端口 53 在企业网络的源和目标地址的防火墙上处于打开状态。
　　
　　2、中级安全性
　　
　　中级安全性使用可用的 DNS 安全功能，不在域控制器上运行 DNS 服务器，也不在 Active Directory 中存储 DNS 区域。
　　
　　企业的 DNS 结构有限暴露给 Internet。
　　
　　所有 DNS 服务器在本地都无法解析名称时，将其配置为使用转发器指向内部 DNS 服务器的特定列表。
　　
　　所有 DNS 服务器都将区域传输限制为其区域中的名称服务器 (NS) 资源记录中列出的服务器。
　　
　　配置 DNS 服务器在指定的 IP 地址上侦听。
　　
　　在所有 DNS 服务器上已启用缓存污染防止。
　　
　　不允许对任何 DNS 区域进行动态更新。
　　
　　内部 DNS 服务器通过防火墙与外部 DNS 服务器通信，该防火墙具有所允许的源和目标地址的有限列表。
　　
　　防火墙前方的外部 DNS 服务器都配置有指向 Internet 的根服务器的根提示。
　　
　　所有 Internet 名称解析都使用代理服务器和网关执行。
　　
　　3、高级安全性
　　
　　高级安全性使用与中级安全性相同的配置，DNS 服务器服务在域控制器上运行且 DNS 区域存储在 Active Directory 中时，也使用可用的安全功能。此外，高级安全性还完全取消了与 Internet 的 DNS 通信。这不是通常使用的配置，但是，每当不需要 Internet 连接时，则建议使用该配置。
　　
　　企业的 DNS 结构不通过内部 DNS 服务器与 Internet 通信。
　　
　　企业网络使用内部 DNS 根目录和名称空间，其中对于 DNS 区域的所有权限都是内部的。
　　
　　配置为使用转发器的 DNS 服务器只使用内部 DNS 服务器 IP 地址。
　　
　　所有 DNS 服务器都将区域传输限制为指定的 IP 地址。
　　
　　配置 DNS 服务器在指定的 IP 地址上侦听。
　　
　　在所有 DNS 服务器上已启用缓存污染防止。
　　
　　内部 DNS 服务器都配置有指向内部 DNS 服务器的根提示，这些服务器主持企业内部名称空间的根目录区域。
　　
　　所有 DNS 服务器都在域控制器上运行。DNS 服务器服务上配置有随机访问控制列表 (DACL)，只允许特定个人在 DNS 服务器上执行管理任务。
　　
　　所有 DNS 区域都存储在 Active Directory 中。DACL 配置为只允许特定个人创建、删除或修改 DNS 区域。
　　
　　DNS 资源记录上的 DACL 被配置为只允许特定个人创建、删除或修改 DNS 数据。
　　
　　为 DNS 区域配置了安全的动态更新，顶级和根目录区域除外，它们根本不允许进行动态更新。
　　
　　1、保证 DNS 部署的安全
　　
　　设计 DNS 服务器部署时，应采用下列 DNS 安全准则：
　　
　　如果不需要企业网络主机来解析 Internet 上的名称，应取消与 Internet 的 DNS 通信。
　　
　　在该 DNS 设计中，可使用企业网络中完全主持的专用 DNS 名称空间。专用 DNS 名称空间的分发与 Internet DNS 名称空间的分发相同，内部 DNS 服务器为根域和顶级域主持区域。
　　
　　在防火墙后面的内部 DNS 服务器和防火墙前面的外部 DNS 服务器间分割企业单位的 DNS 名称空间。
　　
　　在该 DNS 设计中，企业内部 DNS 名称空间是外部 DNS 名称空间的子域。例如，如果企业单位的 Internet DNS 名称空间是 ghq.com，企业网络的内部 DNS 名称空间是 corp.ghq.com。
　　
　　在内部 DNS 服务器上主持内部 DNS 名称空间，在暴露给 Internet 的外部 DNS 服务器上主持外部 DNS 服务器。
　　
　　要解析内部主机进行的外部名称查询，内部 DNS 服务器会将外部名称查询转发给外部 DNS 服务器。外部主机只使用外部 DNS 服务器进行 Internet 名称解析。
　　
　　配置数据包筛选防火墙，以便只允许在外部 DNS 服务器和单一内部 DNS 服务器间进行 UDP 和 TCP 端口 53 通信。
　　
　　这将便于内部和外部 DNS 服务器间的通信，并可防止任何其他外部计算机获取对于内部 DNS 名称空间的访问权。
　　
　　2、保护 DNS 服务器服务
　　
　　要保护企业网络中的 DNS 服务器的安全，请采用下列准则：
　　
　　检查并配置影响安全性的默认 DNS 服务器服务设置DNS 服务器服务配置选项对于标准和集成了 Active Directory 的 DNS 服务器服务具有安全意义。（如表2所示）
　　
　

　　
表2
　　
　　管理域控制器上运行的 DNS 服务器上的随机访问控制列表 (DACL) ，除了影响上述安全性的默认 DNS 服务器服务设置外，配置为域控制器的 DNS 服务器使用 DACL。DACL 允许您控制对于控制 DNS 服务器服务的 Active Directory 用户和组的权限。下表3列出了在域控制器上运行时，对于 DNS 服务器服务的默认组或用户名和权限。
　　

　　
表3
　　
　　DNS 服务器服务在域控制器上运行时，可使用 Active Directory 对象 Microsoft DNS 管理该服务的 DACL。在 Microsoft DNS Active Directory 对象上配置 DACL 与在 DNS 控制台中的 DNS 服务器上配置 DACL 效果相同，建议采用后一种方法。这样，Active Directory 对象和 DNS 服务器的安全管理员应直接联系，以确保管理员不会颠倒彼此的安全设置。
　　
　　应将 NTFS 文件系统始终用于运行 Windows Server 2003 操作系统的 DNS 服务器。NTFS 文件系统比 FAT 和 FAT32 文件系统功能强大，并能提供包括 Active Directory 的各种功能，Active Directory 是域、用户帐户和其他重要安全功能所需要的。
　　
　　3、保护 DNS 区域
　　
　　DNS 区域配置选项对于标准和集成了 Active Directory 的 DNS 区域具有安全意义：
　　
　　配置安全的动态更新。
　　
　　默认情况下，“动态更新”设置未被配置为允许动态更新。这是最安全的设置，因为它能够防止攻击者更新 DNS 区域，但是，该设置也可阻止您利用动态更新所提供的管理优势。要使计算机安全更新 DNS 数据，应将 DNS 区域存储在 Active Directory 中，并使用安全的动态更新功能。安全的动态更新将 DNS 区域更新限制为只更新已验证且已加入 DNS 服务器所在的 Active Directory 域的那些计算机，同时还限制为更新 DNS 区域的 ACL 中定义的特定安全设置。
　　
　　限制区域传输

---

作者: 童话    时间: 2006-5-22 09:38

Windows 2000 Server DNS维护一点通
　　在设置使用Windows 2000 Server服务的时候，维护工作是非常重要的。下面就和大家交流一下维护和排除DNS故障的方法。
　　
　　一、使用Dnscmd方便维护DNS系统
　　
　　与UNIX或脚本命令类似，Windows 2000的资源工具包提供了一个叫做Dnscmd的命令行程序，它用来管理DNS服务器。
　　
　　该工具可用于不同任务：
　　
　　1.创建脚本或批处理文件，使DNS中每日的管理进程自动化。它特别适合设置使用文本文件的标准DNS主要区域的情况。
　　
　　2.更新资源记录。
　　
　　3. 建立并配置新的DNS服务器。
　　
　　Dnscmd的安装很简单：
　　
　　1.将Dnscmd文件从Win 2000 Server CD-ROM光盘的\support\enterprise\reskit文件夹复制到DNS服务器中你选择的文件夹中即可。如c?\winnt\system32\dns文件夹下。注意，Win 2000 Professional光盘中不存在这个程序。
　　
　　2.在“运行”菜单或命令行提示符上键入DNSCMD或加上不同参数进行维护工作。
　　
　　二、用好Ping命令
　　
　　相信大家对Ping命令都比较熟悉，它使用ICMP协议检查网络上特定IP地址的存在，一个DNS域名也是对应一个IP地址的，因此下面的命令可以检查一个DNS域名的连通性：
　　
　　Ping
www.kwsoffice.com
　　
　　假如一客户端不能解析DNS域名，使用上述命令可以判断该客户端与DNS服务器的连通性。然后可以再Ping网络中的其它客户端。如果都Ping不通，说明该客户端有问题，如果后者可以Ping通，则说明DNS配置错误或DNS服务器错误。
　　
　　三、用Ipconfig设置DNS
　　
　　直接在命令提示符下执行Ipconfig命令可以查看DNS服务器的配置情况。
　　
　

　　该命令还可以手工更新一个客户的DNS注册，排除DNS名称注册失败的故障，或对DNS服务器动态更新故障。使用命令Ipconfig registerdns可以更新或排除一个客户的DNS注册故障，因为该命令将刷新DHCP的租约并注册计算机的主机名。
　　
　　四、使用Nslookup诊断
　　
　　Nslookup是诊断DNS的实用程序，它允许与DNS以对话方式工作并让用户检查资源记录，它也在命令行上运行，语法如下：
　　
　　Nslookup ?-option??hostname? server?
　　
　　-option?指定一个或多个命令行选项。例如要列出命令清单。
　　
　　Hostname：使用用户指定的主机名，缺省使用用户指定的服务器。
　　
　　Server：使用用户指定的DNS服务器，缺省指定使用在TCP/IP网络配置中指定的DNS服务器。
　　
　　例如，命令Nslookup -querytype=mx kwsoffice.com可以显示kwsoffice.com的邮件交换信息。此外，Nslookup还有其它功能，如检查一个区域内的资源记录、检查是否回应请求。例如，执行Nslookup 192.168.12.1 127.0.0.1?该命令第一个IP地址是DNS服务器。如果服务器回应就显示“localhost”。
　　
　

　　当然，它还能检查DC是否使用SVR资源记录添加一个区域、测试来自Wins的回应等，这些在命令的帮助信息中都有，好好看看能有不少新的发现。
　　
　　注意： 执行Nslookup后，系统提示符将变成“>”形式，表示已经进入对话方式，直接键入HELP可以看到所有可用命令，键入EXIT可以退出返回到DOS命令提示符下。
　　
　

　　五、查看Logging日志了解DNS工作状况
　　
　　DNS管理器允许用户配置附加的日志选项，内容包括：查询、通知、应答、UDP、TCP、完整数据包、写入等。要建立DNS记录，在DNS服务器上单击右键，选择“属性”、“日志”即可，你可以看到下面提示的日志文件的名称和位置。
　　
　

　　使用Logging可以调试注册、查询并提供DNS的统计信息和计划DNS服务器的利用能力，以此来帮助排除解析故障
　　
　　六、通过DNS管理器监视
　　
　　采用DNS管理器可以监视和测试DNS服务。在DNS服务器上单击右键，选择“属性”、“监视”、“立即测试”即可测试DNS。测试包括两方面的内容：
　　
　　简单查询：查询测试DNS服务器正向搜索（映射一个IP地址的名称）的能力。
　　
　　递进查询：查询测试DNS服务器反向搜索（映射一个名称的IP地址）的能力。
　　
　　测试结果就在窗口中，以“通过”或“失败”“论英雄”。
　　

　　你还可以设置一定的时间间隔内的自动DNS查询测试，这在建立DNS初期很有实际意义。注释掉的------>Windows 2000 Server DNS维护一点通
　　在设置使用Windows 2000 Server服务的时候，维护工作是非常重要的。下面就和大家交流一下维护和排除DNS故障的方法。
　　
　　一、使用Dnscmd方便维护DNS系统
　　
　　与UNIX或脚本命令类似，Windows 2000的资源工具包提供了一个叫做Dnscmd的命令行程序，它用来管理DNS服务器。
　　
　　该工具可用于不同任务：
　　
　　1.创建脚本或批处理文件，使DNS中每日的管理进程自动化。它特别适合设置使用文本文件的标准DNS主要区域的情况。
　　
　　2.更新资源记录。
　　
　　3. 建立并配置新的DNS服务器。
　　
　　Dnscmd的安装很简单：
　　
　　1.将Dnscmd文件从Win 2000 Server CD-ROM光盘的\support\enterprise\reskit文件夹复制到DNS服务器中你选择的文件夹中即可。如c?\winnt\system32\dns文件夹下。注意，Win 2000 Professional光盘中不存在这个程序。
　　
　　2.在“运行”菜单或命令行提示符上键入DNSCMD或加上不同参数进行维护工作。
　　
　　二、用好Ping命令
　　
　　相信大家对Ping命令都比较熟悉，它使用ICMP协议检查网络上特定IP地址的存在，一个DNS域名也是对应一个IP地址的，因此下面的命令可以检查一个DNS域名的连通性：
　　
　　Ping

www.kwsoffice.com

　　
　　假如一客户端不能解析DNS域名，使用上述命令可以判断该客户端与DNS服务器的连通性。然后可以再Ping网络中的其它客户端。如果都Ping不通，说明该客户端有问题，如果后者可以Ping通，则说明DNS配置错误或DNS服务器错误。
　　
　　三、用Ipconfig设置DNS
　　
　　直接在命令提示符下执行Ipconfig命令可以查看DNS服务器的配置情况。
　　
　

　　该命令还可以手工更新一个客户的DNS注册，排除DNS名称注册失败的故障，或对DNS服务器动态更新故障。使用命令Ipconfig registerdns可以更新或排除一个客户的DNS注册故障，因为该命令将刷新DHCP的租约并注册计算机的主机名。
　　
　　四、使用Nslookup诊断
　　
　　Nslookup是诊断DNS的实用程序，它允许与DNS以对话方式工作并让用户检查资源记录，它也在命令行上运行，语法如下：
　　
　　Nslookup ?-option??hostname? server?
　　
　　-option?指定一个或多个命令行选项。例如要列出命令清单。
　　
　　Hostname：使用用户指定的主机名，缺省使用用户指定的服务器。
　　
　　Server：使用用户指定的DNS服务器，缺省指定使用在TCP/IP网络配置中指定的DNS服务器。
　　
　　例如，命令Nslookup -querytype=mx kwsoffice.com可以显示kwsoffice.com的邮件交换信息。此外，Nslookup还有其它功能，如检查一个区域内的资源记录、检查是否回应请求。例如，执行Nslookup 192.168.12.1 127.0.0.1?该命令第一个IP地址是DNS服务器。如果服务器回应就显示“localhost”。
　　
　

　　当然，它还能检查DC是否使用SVR资源记录添加一个区域、测试来自Wins的回应等，这些在命令的帮助信息中都有，好好看看能有不少新的发现。
　　
　　注意： 执行Nslookup后，系统提示符将变成“>”形式，表示已经进入对话方式，直接键入HELP可以看到所有可用命令，键入EXIT可以退出返回到DOS命令提示符下。
　　
　

　　五、查看Logging日志了解DNS工作状况
　　
　　DNS管理器允许用户配置附加的日志选项，内容包括：查询、通知、应答、UDP、TCP、完整数据包、写入等。要建立DNS记录，在DNS服务器上单击右键，选择“属性”、“日志”即可，你可以看到下面提示的日志文件的名称和位置。
　　
　

　　使用Logging可以调试注册、查询并提供DNS的统计信息和计划DNS服务器的利用能力，以此来帮助排除解析故障
　　
　　六、通过DNS管理器监视
　　
　　采用DNS管理器可以监视和测试DNS服务。在DNS服务器上单击右键，选择“属性”、“监视”、“立即测试”即可测试DNS。测试包括两方面的内容：
　　
　　简单查询：查询测试DNS服务器正向搜索（映射一个IP地址的名称）的能力。
　　
　　递进查询：查询测试DNS服务器反向搜索（映射一个名称的IP地址）的能力。
　　
　　测试结果就在窗口中，以“通过”或“失败”“论英雄”。
　　

　　你还可以设置一定的时间间隔内的自动DNS查询测试，这在建立DNS初期很有实际意义。

---

作者: 童话    时间: 2006-5-22 09:39

Win2000动态DNS的安全应用策略
　　Windows2000 域名解析是基于动态DNS，动态DNS的实现是基于RFC 2136基础上的。在Windows 2000下，动态DNS是与DHCP、WINS及活动目录（AD）集成在一起的。在Windows 2000的域下有三种实现DNS的方法：与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS。当DNS完成集成到活动目录中后，我们可以利用Windows2000网络中的三个重要安全特性：安全动态更新、安全区域传输、对区域和资源记录的访问控制列表。
　　
　　一、安全动态更新
　　
　　在动态DNS（DDNS）中一个最重要的安全特性就是安全更新。在实现安全更新时一个主要的考虑是DNS项组成的记录的所有权。所有权是由DHCP的配置及对客户端的支持来决定的。
　　
　　与客户端相关的有两种DNS记录：A记录和PTR记录，A记录解析名字到地址，而PTR记录解析地址到名字。地址是指一个客户端的IP地址，名字是指一个客户的完全合格域名，应该是计算机名加上网络的域名。
　　
　　在Windows 2000环境中，当客户端通过DHCP请求一个IP时，客户端DNS记录就被注册。根据设置，客户端、DHCP服务器或者两者都可以更新客户的A记录和PTR记录，谁注册了这个记录，谁就对记录拥有所有权。
　　
　　下面是在Windows2000网络中定义客户的A记录和PTR记录所有权的可选项。
　　
　　1．Windows2000本机模式
　　
　　在Windows2000环境下，DHCP服务器和DHCP客户端都可以通过DNS注册记录。当网络仅由Windows2000的服务器和客户端组成时，这种Windows2000环境被定义为"本机模式"。
　　
　　当客户端是一个Windows2000客户时，默认配置是当客户在网络上注册时动态更新它自己的A记录，与此同时，DHCP服务器更新客户的PTR记录。因此，A记录的所有权属于客户端，PTR记录的所有权属于DHCP服务器。
　　
　　第二种可能的配置是DHCP服务器更新正向和反向查找，在这种情况下，DHCP服务器同时拥有A记录和PTR记录的所有。
　　
　　第三种可能的配置是DHCP服务器被配置为不执行动态更新，在这种情况下，客户端将更新A记录和PTR记录，同时也就拥有记录的所有权。
　　
　　2．Windows2000混杂模式
　　
　　在一个混杂模式的环境下，DHCP客户端不能在DNS下注册。所谓混杂模式即网络除Windows2000服务器、客户端外同时存在有WindowsNT4.0或Windows98客户。
　　
　　先前的客户端，如WindowsNT4.0和Windows9x不能直接通过DNS注册。因为只有DHCP服务器可以通过DNS注册记录，在混杂环境中唯一的选择是让DHCP服务器注册A记录和PTR记录，在这种情况下，服务器拥有正向和反向查找记录的所有权。
　　
　　3．安全动态更新
　　
　　在Windows2000网络中，只有当活动目录与DNS区域集成时，安全动态更新才可用。安全动态更新意味着什么呢？在Windows2000中，它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录。为允许更新DNS区域和/或它的资源记录，除ACL外，动态更新也使用安全通道和认证。
　　
　　Windows2000支持使用IETF草拟的"GSS Algorithm for TSIG "（GSS-TSIG）算法进行安全动态更新。这个算法使用 Kerberos v5 作为优先的认证协议，GSS-API在RFC2078中有定义.
　　
　　二、区域
　　
　　1．区域的类型
　　
　　Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。
　　
　　主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外，DNS数据库与其它数据库如WINS和DHCP保持独立，复制是从其它复制服务中独立设置。如果网络中有服务器运行低于
　　8.1.2的BIND版本，则必须使用主要/辅助区域，因为在早先的版本中不支持动态更新。
　　
　　如果安装了活动目录，DNS区域可以成为活动目录集成区域。这意味着DNS区域数据库成为活动目录数据库的一部分，每条记录都是活动目录的对象，每个活动目录对象拥有它自己的ACL（访问控制列表）。
　　
　　2．区域传输或复制的类型
　　
　　Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的区域传输，是整个区域数据库文件的复制。IXFR或增量区域传输，仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域，那么可以应用这些区域复制方法。IXFR支持在BIND 8.2.1及以上版本。
　　
　　当 DNS与活动目录集成时，所有的区域和资源记录将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。
　　
　　多主机模型的好处之一是没有单点失败的问题。这是可能的，因为DNS是活动目录数据库的一部分，而活动目录数据库被复制到所有的域控制器。
　　
　　多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分，因此DNS区域传输作为活动目录复制的一部分完成。
　　
　　3．区域传输的安全
　　
　　如果Windows 2000的DNS配置为主要/辅助区域，是不能使用加密和压缩的。为了与BIND兼容，Windows 2000支持AXFR，每个消息发送/接受一个或多个资源记录。在BIND4.9.4以前的版本不支持多条资源记录由一个消息传输。为与BIND8.2.1版本兼容Windows2000支持IXFR，为与BIND8.1.2版本兼容Windows 2000 支持DNS通告。
　　
　　当Windows 2000的DNS配置为与活动目录集成时，复制进程成为活动目录复制的一部分，因此它自动使用加密和压缩。
　　
　　在Windows 2000下使用Kerberos v5进行加密。控制器之间的通信通道自动加密，不需要管理员配置。
　　
　　当活动目录更新在"桥头"服务器间传输时，自动进行压缩。桥头服务器是在本地局域网服务器自动选择产生的，当活动目录使用广域网链路进行更新时，每个局域网的桥头服务器会与其它桥头服务器通信，这将大大减少通过 WAN 链路的流量。在这种情况下，为了节省带宽会自动压缩。
　　
　　三、活动目录集成DNS 区域
　　
　　在 Windows 2000下活动目录与DDNS集成，因此实现活动目录安全第一步是实现 DDNS的安全。
　　
　　1．文件系统
　　
　　使用NTFS。Windows 2000 的版本是 NTFS v5，此版本允许设置文件和文件夹的安全、加密文件系统和审核。NTFS v5 不与先
　　前的NTFS兼容。在安装了Service Pack 4 或更高版本的NT4.0上只能读取NTFS v5。
　　
　　NTFS通过设置文件夹和文件级别访问权限来限制网络或本地对文件的访问。
　　
　　NTFS和共享权限可以被用来非常精确的控制权限和继承关系。
　　
　　2．注册表
　　
　　使用注册表编辑器编辑DACL关系到每一个注册表的配置单元。细节问题可以参考SANS出版的"Windows NT Security, Step-by-Step"。
　　
　　3．Enterprise管理员和Schema管理员组
　　
　　在Windows2000网络建立之后，限制访问这两个管理员组。这些组出现在根域下并且有最高的权限。根据域的结构，管理可以被委派到域结构，因此管理可以被限制到单个域。
　　
　　4．加密文件系统
　　
　　Windows2000的NTFS提供了使用加密文件系统的选择。EFS使用基于公共密钥的技术来进一步限制文件的未授权访问。
　　
　　5．活动目录中的DNS
　　
　　DNS的安装将扩展活动目录的架构，包含了DNSUpdateProxy组。这是一个非常强大的组，它允许创建对象，这是不安全的，当这种情况发生时，任何授权用户可以获得这些对象的所有权。
　　
　　DNS中客户端的A记录和PTR记录会在DHCP处理进程中进行更新，这在上面有详细地叙述。当客户和服务器都是Windows2000时，安全动态更新可以通过默认安装来完成，当有其它的用户需要支持时，安全动态更新不能完成，除非DHCP服务器被加入到了DNSUpdateProxy组，加入DNSUpdateProxy组后，允许DHCP服务器为早期的客户端执行动态更新。
　　
　　如果DHCP服务运行在一个域控制器时，需要特别考虑的是，添加DHCP服务器到DNSUpdateProxy组，将允许所有用户或计算机完全控制相应域控制器的DNS记录。
　　
　　6．资源记录的所有权
　　
　　DHCP服务器不能在早期的客户端上执行安全动态更新，这在Windows2000网络中是非常重要的。如果这种情况发生，会出现不能完全更新活动记录的情况。例如，一个NT4.0的客户端通过DHCP服务器在DNS中注册了一个名字，当这台机器被升级到Windows2000时，这个名字保持不变。DHCP服务器因其最先注册了这个名字而拥有这个名字的资源记录所有权，所以Windows 2000客户不能更新它自己的名字。
　　
　　7．WINS查找
　　
　　作为Windows2000最终的告诫，我将翻译说明为什么WINS将是Windows 2000网络中最可能需要的部分。为什么呢？对所有非Windows2000客户，NetBios解析仍是必需的。同样，所有需要NetBios的程序也将需要WINS来做名字解析。WINS通过两个特定的资源记录直接集成到了DNS中：WINS和WINS-R。这分别为WINS做正向和反向记录查找。
　　
　　四、结论
　　
　　总之，理解Windows2000使用DNS的过程是非常重要的。在文章的1.0部分"安全动态更新"和2.0部分"区域"中有了一个简述。理解Windows2000的"gotcha's"和"caveats"也是非常重要的。3.0部分活动目录集成DNS区域列举了相关的项目。注释掉的------>Win2000动态DNS的安全应用策略
　　Windows2000 域名解析是基于动态DNS，动态DNS的实现是基于RFC 2136基础上的。在Windows 2000下，动态DNS是与DHCP、WINS及活动目录（AD）集成在一起的。在Windows 2000的域下有三种实现DNS的方法：与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS。当DNS完成集成到活动目录中后，我们可以利用Windows2000网络中的三个重要安全特性：安全动态更新、安全区域传输、对区域和资源记录的访问控制列表。
　　
　　一、安全动态更新
　　
　　在动态DNS（DDNS）中一个最重要的安全特性就是安全更新。在实现安全更新时一个主要的考虑是DNS项组成的记录的所有权。所有权是由DHCP的配置及对客户端的支持来决定的。
　　
　　与客户端相关的有两种DNS记录：A记录和PTR记录，A记录解析名字到地址，而PTR记录解析地址到名字。地址是指一个客户端的IP地址，名字是指一个客户的完全合格域名，应该是计算机名加上网络的域名。
　　
　　在Windows 2000环境中，当客户端通过DHCP请求一个IP时，客户端DNS记录就被注册。根据设置，客户端、DHCP服务器或者两者都可以更新客户的A记录和PTR记录，谁注册了这个记录，谁就对记录拥有所有权。
　　
　　下面是在Windows2000网络中定义客户的A记录和PTR记录所有权的可选项。
　　
　　1．Windows2000本机模式
　　
　　在Windows2000环境下，DHCP服务器和DHCP客户端都可以通过DNS注册记录。当网络仅由Windows2000的服务器和客户端组成时，这种Windows2000环境被定义为"本机模式"。
　　
　　当客户端是一个Windows2000客户时，默认配置是当客户在网络上注册时动态更新它自己的A记录，与此同时，DHCP服务器更新客户的PTR记录。因此，A记录的所有权属于客户端，PTR记录的所有权属于DHCP服务器。
　　
　　第二种可能的配置是DHCP服务器更新正向和反向查找，在这种情况下，DHCP服务器同时拥有A记录和PTR记录的所有。
　　
　　第三种可能的配置是DHCP服务器被配置为不执行动态更新，在这种情况下，客户端将更新A记录和PTR记录，同时也就拥有记录的所有权。
　　
　　2．Windows2000混杂模式
　　
　　在一个混杂模式的环境下，DHCP客户端不能在DNS下注册。所谓混杂模式即网络除Windows2000服务器、客户端外同时存在有WindowsNT4.0或Windows98客户。
　　
　　先前的客户端，如WindowsNT4.0和Windows9x不能直接通过DNS注册。因为只有DHCP服务器可以通过DNS注册记录，在混杂环境中唯一的选择是让DHCP服务器注册A记录和PTR记录，在这种情况下，服务器拥有正向和反向查找记录的所有权。
　　
　　3．安全动态更新
　　
　　在Windows2000网络中，只有当活动目录与DNS区域集成时，安全动态更新才可用。安全动态更新意味着什么呢？在Windows2000中，它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录。为允许更新DNS区域和/或它的资源记录，除ACL外，动态更新也使用安全通道和认证。
　　
　　Windows2000支持使用IETF草拟的"GSS Algorithm for TSIG "（GSS-TSIG）算法进行安全动态更新。这个算法使用 Kerberos v5 作为优先的认证协议，GSS-API在RFC2078中有定义.
　　
　　二、区域
　　
　　1．区域的类型
　　
　　Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。
　　
　　主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外，DNS数据库与其它数据库如WINS和DHCP保持独立，复制是从其它复制服务中独立设置。如果网络中有服务器运行低于
　　8.1.2的BIND版本，则必须使用主要/辅助区域，因为在早先的版本中不支持动态更新。
　　
　　如果安装了活动目录，DNS区域可以成为活动目录集成区域。这意味着DNS区域数据库成为活动目录数据库的一部分，每条记录都是活动目录的对象，每个活动目录对象拥有它自己的ACL（访问控制列表）。
　　
　　2．区域传输或复制的类型
　　
　　Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的区域传输，是整个区域数据库文件的复制。IXFR或增量区域传输，仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域，那么可以应用这些区域复制方法。IXFR支持在BIND 8.2.1及以上版本。
　　
　　当 DNS与活动目录集成时，所有的区域和资源记录将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。
　　
　　多主机模型的好处之一是没有单点失败的问题。这是可能的，因为DNS是活动目录数据库的一部分，而活动目录数据库被复制到所有的域控制器。
　　
　　多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分，因此DNS区域传输作为活动目录复制的一部分完成。
　　
　　3．区域传输的安全
　　
　　如果Windows 2000的DNS配置为主要/辅助区域，是不能使用加密和压缩的。为了与BIND兼容，Windows 2000支持AXFR，每个消息发送/接受一个或多个资源记录。在BIND4.9.4以前的版本不支持多条资源记录由一个消息传输。为与BIND8.2.1版本兼容Windows2000支持IXFR，为与BIND8.1.2版本兼容Windows 2000 支持DNS通告。
　　
　　当Windows 2000的DNS配置为与活动目录集成时，复制进程成为活动目录复制的一部分，因此它自动使用加密和压缩。
　　
　　在Windows 2000下使用Kerberos v5进行加密。控制器之间的通信通道自动加密，不需要管理员配置。
　　
　　当活动目录更新在"桥头"服务器间传输时，自动进行压缩。桥头服务器是在本地局域网服务器自动选择产生的，当活动目录使用广域网链路进行更新时，每个局域网的桥头服务器会与其它桥头服务器通信，这将大大减少通过 WAN 链路的流量。在这种情况下，为了节省带宽会自动压缩。
　　
　　三、活动目录集成DNS 区域
　　
　　在 Windows 2000下活动目录与DDNS集成，因此实现活动目录安全第一步是实现 DDNS的安全。
　　
　　1．文件系统
　　
　　使用NTFS。Windows 2000 的版本是 NTFS v5，此版本允许设置文件和文件夹的安全、加密文件系统和审核。NTFS v5 不与先
　　前的NTFS兼容。在安装了Service Pack 4 或更高版本的NT4.0上只能读取NTFS v5。
　　
　　NTFS通过设置文件夹和文件级别访问权限来限制网络或本地对文件的访问。
　　
　　NTFS和共享权限可以被用来非常精确的控制权限和继承关系。
　　
　　2．注册表
　　
　　使用注册表编辑器编辑DACL关系到每一个注册表的配置单元。细节问题可以参考SANS出版的"Windows NT Security, Step-by-Step"。
　　
　　3．Enterprise管理员和Schema管理员组
　　
　　在Windows2000网络建立之后，限制访问这两个管理员组。这些组出现在根域下并且有最高的权限。根据域的结构，管理可以被委派到域结构，因此管理可以被限制到单个域。
　　
　　4．加密文件系统
　　
　　Windows2000的NTFS提供了使用加密文件系统的选择。EFS使用基于公共密钥的技术来进一步限制文件的未授权访问。
　　
　　5．活动目录中的DNS
　　
　　DNS的安装将扩展活动目录的架构，包含了DNSUpdateProxy组。这是一个非常强大的组，它允许创建对象，这是不安全的，当这种情况发生时，任何授权用户可以获得这些对象的所有权。
　　
　　DNS中客户端的A记录和PTR记录会在DHCP处理进程中进行更新，这在上面有详细地叙述。当客户和服务器都是Windows2000时，安全动态更新可以通过默认安装来完成，当有其它的用户需要支持时，安全动态更新不能完成，除非DHCP服务器被加入到了DNSUpdateProxy组，加入DNSUpdateProxy组后，允许DHCP服务器为早期的客户端执行动态更新。
　　
　　如果DHCP服务运行在一个域控制器时，需要特别考虑的是，添加DHCP服务器到DNSUpdateProxy组，将允许所有用户或计算机完全控制相应域控制器的DNS记录。
　　
　　6．资源记录的所有权
　　
　　DHCP服务器不能在早期的客户端上执行安全动态更新，这在Windows2000网络中是非常重要的。如果这种情况发生，会出现不能完全更新活动记录的情况。例如，一个NT4.0的客户端通过DHCP服务器在DNS中注册了一个名字，当这台机器被升级到Windows2000时，这个名字保持不变。DHCP服务器因其最先注册了这个名字而拥有这个名字的资源记录所有权，所以Windows 2000客户不能更新它自己的名字。
　　
　　7．WINS查找
　　
　　作为Windows2000最终的告诫，我将翻译说明为什么WINS将是Windows 2000网络中最可能需要的部分。为什么呢？对所有非Windows2000客户，NetBios解析仍是必需的。同样，所有需要NetBios的程序也将需要WINS来做名字解析。WINS通过两个特定的资源记录直接集成到了DNS中：WINS和WINS-R。这分别为WINS做正向和反向记录查找。
　　
　　四、结论
　　
　　总之，理解Windows2000使用DNS的过程是非常重要的。在文章的1.0部分"安全动态更新"和2.0部分"区域"中有了一个简述。理解Windows2000的"gotcha's"和"caveats"也是非常重要的。3.0部分活动目录集成DNS区域列举了相关的项目。

---

作者: 童话    时间: 2006-5-22 09:39

Windows 2003上网配置DNS的技巧
　　本文分步说明如何在Windows Server 2003 产品中为域名系统 (DNS) 配置Internet 访问。DNS是Internet上使用的核心名称解析工具。负责主机名称和Internet 地址之间的解析。
　　
　　如何从运行 Windows Server 2003 的独立服务器开始
　　
　　运行Windows Server 2003 的独立服务器成为网络的DNS 服务器。第一步，为该服务器分配一个静态 Internet“协议(IP)”地址。DNS服务器不应该使用动态分配的IP地址，因为地址的动态更改会使客户端与DNS服务器失去联系。
　　
　　第1步：配置TCP/IP
　　
　　打开网络连接，然后使用右键查看本地连接的属性。
　　
　　选择Internet 协议 (TCP/IP)。查看其属性。
　　
　　单击常规选项卡。
　　
　　选择“使用下面的IP地址”，然后在相应的框中键入IP 地址、子网掩码和默认网关地址。
　　
　　选中高级选项中的DNS选项卡。
　　
　　单击附加主要的和连接特定的DNS 后缀。
　　
　　单击以选中附加主DNS 后缀的父后缀复选框。
　　
　　单击以选中在DNS中注册此连接的地址复选框。
　　
　　注意，运行Windows Server 2003的DNS服务器必须将其DNS服务器指定为它本身。
　　
　　如果该服务器需要解析来自它的Internet 服务提供商 (ISP) 的名称，您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。
　　
　　单击确定三次。
　　
　　备注: 如果收到一个来自DNS 缓存解析器服务的警告，单击“确定”关闭该警告。缓存解析器正试图与DNS服务器取得联系，但您尚未完成该服务器的配置
　　
　　第2步：安装 Microsoft DNS 服务器
　　
　　单击开始，指向控制面板，然后单击添加或删除程序。
　　
　　单击“添加或删除Windows组件”。
　　
　　在组件列表中，单击网络服务（但不要选中或清除该复选框），然后单击详细信息。单击以选中域名系统 (DNS) 复选框，然后单击确定。
　　
　　单击下一步。
　　
　　得到提示后，将Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。
　　
　　安装完成时，在完成 Windows 组件向导页上单击完成。
　　
　　单击关闭关闭添加或删除程序窗口。
　　
　　第3步：配置 DNS 服务器
　　
　　要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS，请按照下列步骤操作：
　　
　　单击开始，指向程序，指向管理工具，然后单击DNS。
　　
　　右击正向搜索区域，然后单击新建区域。
　　
　　当“新建区域向导”启动后，单击下一步。
　　
　　接着将提示您选择区域类型。区域类型包括：
　　
　　主要区域：创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns 文本文件中。
　　
　　辅助区域：标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意，您无法修改辅助DNS服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。
　　
　　存根区域：存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的glue 主机 (A) 记录。
　　
　　Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。
　　
　　新的正向搜索区域必须是主要区域或 Active Directory 集成的区域，以便它能够接受动态更新。单击主要，然后单击下一步。
　　
　　新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同，或者是该名称的逻辑 DNS 容器。例如，如果基于Active Directory 的域的名称为“support.microsoft.com”，那么有效的区域名称只能是“support.microsoft.com”。
　　
　　接受新区域文件的默认名称，单击下一步。
　　
　　备注：有经验的DNS 管理员可能希望创建反向搜索区域，因此建议他们钻研向导的这个分支。DNS 服务器可以解析两种基本的请求：正向搜索请求和反向搜索请求。正向搜索更普遍一些。正向搜索将主机名称解析为一个带有“A”或主机资源记录的 IP 地址。反向搜索将IP地址解析为一个带有 PTR 或指针资源记录的主机名称。如果您配置了反向DNS 区域，您可以在创建原始正向记录时自动创建关联的反向记录。
　　
　　如何移除根DNS 区域
　　
　　运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存，然后检查它的区域记录，接下来将请求发送到转发器，最后使用根服务器尝试解析。
　　
　　默认情况下，Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo工具将服务器提升为域控制器时，域控制器需要DNS。如果在提升过程中安装 DNS，会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此，您的 DNS 服务器在名称解析过程中并不使用转发器或根提示。
　　
　　单击开始，指向管理工具，然后单击DNS。
　　
　　展开 ServerName，其中 ServerName 是服务器的名称，单击属性 ，然后展开正向搜索区域。
　　
　　右击"." 区域，然后单击删除.
　　
　　如何配置转发器
　　
　　Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录，可以将请求发送给另一台 DNS 服务器，以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。
　　
　　单击开始，指向管理工具，然后单击DNS。
　　
　　右击ServerName，其中ServerName是服务器的名称，然后单击转发器 选项卡。
　　
　　单击DNS域列表中的一个DNS域。或者单击新建，在DNS“域框”中键入希望转发查询的DNS域的名称，然后单击确定。
　　
　　在所选域的转发器IP地址框中，键入希望转发到的第一个DNS服务器的IP地址，然后单击添加。
　　
　　重复步骤 4，添加希望转发到的DNS服务器。
　　
　　单击确定。
　　
　　如何配置根提示
　　
　　Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%\System32\DNS\Cache.dns) 中。Windows 使用标准的 Internic 根服务器。另外，当运行 Windows Server 2003 的服务器查询根服务器时，它将用最新的根服务器列表更新自身。
　　
　　单击开始，指向管理工具，然后单击DNS。
　　
　　右击 ServerName，其中 ServerName 是服务器的名称，然后单击属性.单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。
　　
　　如何在防火墙后配置DNS
　　
　　代理和网络地址转换 (NAT) 设备可以限制对端口的访问。DNS使用UDP 端口A和TCP端口53。DNS服务管理控制台也使用RCP。RCP使用端口135。当您配置DNS和防火墙时，这些问题都有可能发生注释掉的------>Windows 2003上网配置DNS的技巧
　　本文分步说明如何在Windows Server 2003 产品中为域名系统 (DNS) 配置Internet 访问。DNS是Internet上使用的核心名称解析工具。负责主机名称和Internet 地址之间的解析。
　　
　　如何从运行 Windows Server 2003 的独立服务器开始
　　
　　运行Windows Server 2003 的独立服务器成为网络的DNS 服务器。第一步，为该服务器分配一个静态 Internet“协议(IP)”地址。DNS服务器不应该使用动态分配的IP地址，因为地址的动态更改会使客户端与DNS服务器失去联系。
　　
　　第1步：配置TCP/IP
　　
　　打开网络连接，然后使用右键查看本地连接的属性。
　　
　　选择Internet 协议 (TCP/IP)。查看其属性。
　　
　　单击常规选项卡。
　　
　　选择“使用下面的IP地址”，然后在相应的框中键入IP 地址、子网掩码和默认网关地址。
　　
　　选中高级选项中的DNS选项卡。
　　
　　单击附加主要的和连接特定的DNS 后缀。
　　
　　单击以选中附加主DNS 后缀的父后缀复选框。
　　
　　单击以选中在DNS中注册此连接的地址复选框。
　　
　　注意，运行Windows Server 2003的DNS服务器必须将其DNS服务器指定为它本身。
　　
　　如果该服务器需要解析来自它的Internet 服务提供商 (ISP) 的名称，您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。
　　
　　单击确定三次。
　　
　　备注: 如果收到一个来自DNS 缓存解析器服务的警告，单击“确定”关闭该警告。缓存解析器正试图与DNS服务器取得联系，但您尚未完成该服务器的配置
　　
　　第2步：安装 Microsoft DNS 服务器
　　
　　单击开始，指向控制面板，然后单击添加或删除程序。
　　
　　单击“添加或删除Windows组件”。
　　
　　在组件列表中，单击网络服务（但不要选中或清除该复选框），然后单击详细信息。单击以选中域名系统 (DNS) 复选框，然后单击确定。
　　
　　单击下一步。
　　
　　得到提示后，将Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。
　　
　　安装完成时，在完成 Windows 组件向导页上单击完成。
　　
　　单击关闭关闭添加或删除程序窗口。
　　
　　第3步：配置 DNS 服务器
　　
　　要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS，请按照下列步骤操作：
　　
　　单击开始，指向程序，指向管理工具，然后单击DNS。
　　
　　右击正向搜索区域，然后单击新建区域。
　　
　　当“新建区域向导”启动后，单击下一步。
　　
　　接着将提示您选择区域类型。区域类型包括：
　　
　　主要区域：创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns 文本文件中。
　　
　　辅助区域：标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意，您无法修改辅助DNS服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。
　　
　　存根区域：存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的glue 主机 (A) 记录。
　　
　　Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。
　　
　　新的正向搜索区域必须是主要区域或 Active Directory 集成的区域，以便它能够接受动态更新。单击主要，然后单击下一步。
　　
　　新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同，或者是该名称的逻辑 DNS 容器。例如，如果基于Active Directory 的域的名称为“support.microsoft.com”，那么有效的区域名称只能是“support.microsoft.com”。
　　
　　接受新区域文件的默认名称，单击下一步。
　　
　　备注：有经验的DNS 管理员可能希望创建反向搜索区域，因此建议他们钻研向导的这个分支。DNS 服务器可以解析两种基本的请求：正向搜索请求和反向搜索请求。正向搜索更普遍一些。正向搜索将主机名称解析为一个带有“A”或主机资源记录的 IP 地址。反向搜索将IP地址解析为一个带有 PTR 或指针资源记录的主机名称。如果您配置了反向DNS 区域，您可以在创建原始正向记录时自动创建关联的反向记录。
　　
　　如何移除根DNS 区域
　　
　　运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存，然后检查它的区域记录，接下来将请求发送到转发器，最后使用根服务器尝试解析。
　　
　　默认情况下，Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo工具将服务器提升为域控制器时，域控制器需要DNS。如果在提升过程中安装 DNS，会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此，您的 DNS 服务器在名称解析过程中并不使用转发器或根提示。
　　
　　单击开始，指向管理工具，然后单击DNS。
　　
　　展开 ServerName，其中 ServerName 是服务器的名称，单击属性 ，然后展开正向搜索区域。
　　
　　右击"." 区域，然后单击删除.
　　
　　如何配置转发器
　　
　　Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录，可以将请求发送给另一台 DNS 服务器，以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。
　　
　　单击开始，指向管理工具，然后单击DNS。
　　
　　右击ServerName，其中ServerName是服务器的名称，然后单击转发器 选项卡。
　　
　　单击DNS域列表中的一个DNS域。或者单击新建，在DNS“域框”中键入希望转发查询的DNS域的名称，然后单击确定。
　　
　　在所选域的转发器IP地址框中，键入希望转发到的第一个DNS服务器的IP地址，然后单击添加。
　　
　　重复步骤 4，添加希望转发到的DNS服务器。
　　
　　单击确定。
　　
　　如何配置根提示
　　
　　Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%\System32\DNS\Cache.dns) 中。Windows 使用标准的 Internic 根服务器。另外，当运行 Windows Server 2003 的服务器查询根服务器时，它将用最新的根服务器列表更新自身。
　　
　　单击开始，指向管理工具，然后单击DNS。
　　
　　右击 ServerName，其中 ServerName 是服务器的名称，然后单击属性.单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。
　　
　　如何在防火墙后配置DNS
　　
　　代理和网络地址转换 (NAT) 设备可以限制对端口的访问。DNS使用UDP 端口A和TCP端口53。DNS服务管理控制台也使用RCP。RCP使用端口135。当您配置DNS和防火墙时，这些问题都有可能发生

---

作者: 童话    时间: 2006-5-22 09:40

Win 2k“秘密武器”之DNS工具(一) 　　在网络环境下应用的工具：对从事维护人的员来说用处较大。并需要注意：有些工具需要另一个工具作为基础才好用，即某个工具在工作时，作为基础的另一个工具必须先被执行。这些工具有：
　　
　　远程文件储存诊断
　　远程文件储存分析
　　分布式文件系统实用工具
　　
　　由于网络越来越普及，分布式文件系统应用越来越多，其应用也越来越广，基于网络来排除故障的工具的使用价值也在不断上升。对需要经常与网络打交道的朋友，这部分不可不看。
　　
　　基于网络的工具，也不是仅仅这些。Windows2000的资源工具中配备了相当多的此类软件――也就是下面将介绍的“网络管理工具”。这一系列的工具有16个，分别是：
　　
　　工具名称 　　　　　　　　　　　对应的可执行文件名称
　　ADSI Edit 　　　　　　　　　　　　　操作控制台
　　DNS Server Troubleshooting Tool 　　(Dnscmd.exe)
　　DsAcls　　　　　　　　　　　　　　　(Dsacls.exe)
　　DsaStat　　　　　　　　　　　　　　 (Dsastat.exe)
　　Kerberos Setup　　　　　　　　　　　(Ksetup.exe)
　　Kerberos Keytab Setup　　　　　　　 (Ktpass.exe)
　　Active Directory Administration Tool (Ldp.exe)
　　Active Directory Object Manager 　　(Movetree.exe)
　　Windows 2000 Domain Manager　　　　 (Netdom.exe)
　　NlTest　　　　　　　　　　　　　　　(Nltest.exe)
　　Remote Command Line　　　　　　　　 (Remote.exe)
　　Replication Diagnostics Tool　　　　(Repadmin.exe)
　　Active Directory Replication Monitor (Replmon.exe)
　　Security Descriptor Check Utility 　(Sdcheck.exe)
　　Active Directory Search Tool　　　　(Search.vbs)
　　Winsock Remote Console　　　　　　　(Wsremote.exe)
　　
　　正因这些工具都是基于网络的、或是应用于网络环境之下的，所以真正有机会动手实践的人，与个人计算机环境相比，是少之又少了。但任何一项技术能发展与否，都取决于其生命力。现在网络之普及，给网络技术的普及带来了巨大的生命力，保持于这种普及同步的技术优势，是将来决胜之策。
　　
　　我所以整理出来这些资料，一为学习，二为与诸位共勉。话都说到这样诚恳的地步了，所以，尤其希望各位发现有不当之处，一定要批评指正，方不负我一片诚意。
　　
　　DNS服务器故障排除工具
　　
　　这个工具的英文全名是：DNS Server Troubleshooting Tool，作用是排除域名服务系统的故障，缩写为：DNScmd。这是供系统管理员在域名服务系统（DNS）中使用的一个工具，工具运行的形式是基于命令行的。利用该工具，系统管理员可以观察域名服务系统的属性、范围、资源记录。此外，这个工具也允许以手工形式修改上述的属性，也就是可以建立、删除资源记录，或者在域名服务器的物理内存和域名服务数据库及数据文件之间强行进行事件复制的操作。
　　
　　在Windows NT中，原有与此相关的一个工具，称为：Dnsstat.exe（可以在Windows NT Resource Kit中找到），而DNScmd.exe，就是前者的强化版本。
　　
　　前面已经述及：这是一个命令行的工具，凡是命令行程序，都需要先运行命令控制台CMD。由于前面的文章中已经介绍过CMD的用法，所以，此处不再多加解释。以下的部分，假设你已经打开了命令控制台。
　　
　　DNScmd.exe的用法
　　
　　如果想获得DNScmd.exe的帮助，可以使用DNScmd/?的命令形式来取得帮助的详细信息；DNScmd.exe包含有很多条命令，如果想得到一个指定的命令的应用帮助，可以采用这种形式：Dnscmd command /?，其中，command是所指定的一条命令的名称（具体参看下面介绍），command前面的空格不能省去。
　　
　　我在自己的机器上进行了验证，运行CMD之后，在系统提示符之后键入dnscmd/?，然后回车，其显示如下，考虑到篇幅限制，中间有省略号的地方，是被省略了的项目：
　　
　　Microsoft Windows 2000 [Version 5.00.2195]
　　(C) 版权所有 1985-1998 Microsoft Corp.
　　
　　C:\>dnscmd/?
　　
　　USAGE: DnsCmd []
　　
　　:
　　. 　　　　　　　　　-- local machine using LPC
　　IP address　　　　　-- RPC over TCP/IP
　　DNS name　　　　　　-- RPC over TCP/IP
　　other server name　 -- RPC over named pipes
　　:
　　/Info 　　　　　　　-- Get server information
　　……
　　/ResetForwarders　-- Set DNS servers to forward recursive queries to
　　
　　/ZoneInfo　　　　　 -- View zone information
　　……
　　/ZoneResetMasters　 -- Reset secondary zone's master servers
　　/EnumRecords 　　　 -- Enumerate records at a name
　　/RecordAdd　　　　　-- Create a record in zone or RootHints
　　/RecordDelete 　　　-- Delete a record from zone, RootHints or Cache d
　　ata
　　/NodeDelete 　　　　-- Delete all records at a name
　　/AgeAllRecords　　　-- Force aging on node(s) in zone
　　:
　　-- parameters specific to each Command
　　dnscmd /? -- For help info on specific Command
　　
　　C:\>
　　
　　与正式的帮助文档相比，这里的帮助提示很简略。但最重要的发现，还是两者所提供的命令总数不相同。这种正式帮助文档和在线提示中不一致的情况已经不是第一次了。究竟何处不同，在介绍相关命令的时候，会给各位提醒的。
　　
　　由于Windows2000很重视安全问题，所以，像这类涉及修改重要属性的工具，也必须对工具的使用者进行权限验证，没有通过正确登录系统的使用者，也不可能使用这个工具。也就是说，这个工具只能由经过正确登录的、已经得到信任的用户来使用。说起来似乎很复杂，其实，你只要能以系统管理员的身份登录Windows2000,就可以进入命令控制台中使用它。
　　
　　命令使用形式：
　　
　　所有Dnscmd.exe的命令使用都有统一的形式，请看下一行：
　　
　　dnscmd ServerName Command [Command Parameters]
　　
　　完整的命令语法共分四个部分：dnscmd是工具名称，不能省略。
　　
　　ServerName是服务器名称，不能省略。
　　Command所指定的命令，不能省略。
　　Command Parameters命令参数，是可选的项目。
　　
　　这四个部分中：
　　
　　A ：工具（程序）名称没有可多说的，直接使用就是了；
　　
　　B：服务器名称是由系统管理员规划设计的一个用于管理的机器名称，在此处，服务器名称是作为一个变量来使用的，既然是变量，当真正执行的时候，肯定要被具体的“值”所取代。取代服务器名称的是以下各项目：
　　1. 指定的本地计算机，利用本地连接访问来工作。本地连接访问在英文中被缩写为：LPC
　　2. 使用IP地址，IP地址的格式是：xx.xx.xx.xx。指定DNS服务器，工作时需要经由TCP/IP，利用远程连接访问方式。远程连接访问在英文中被缩写为：RPC。
　　3. 指定的DNS名称：这个名称必须是完整的、有资格的（经过身份验证的）DNS服务器名称（即FQDN），工作也需要经由TCP/IP，利用远程连接访问方式。
　　4. NetBIOS 名称：类似于上一个，只是依据的是NetBIOS而不是经由TCP/IP，工作也需要利用远程连接访问方式。
　　
　　C ：命令 command
　　Command是命令的名字，本工具有很多个命令，不同的命令功能不同。具体可以参看以下的介绍。
　　
　　D：命令参数
　　这时可选项目，有些命令可能并没有参数。
　　
　　到此，我们已经将使用这个工具的所有前期准备工作都作完了。从下一篇开始，将介绍每个命令的语法、使用方法和例子分析。注释掉的------>Win 2k“秘密武器”之DNS工具(一) 　　在网络环境下应用的工具：对从事维护人的员来说用处较大。并需要注意：有些工具需要另一个工具作为基础才好用，即某个工具在工作时，作为基础的另一个工具必须先被执行。这些工具有：
　　
　　远程文件储存诊断
　　远程文件储存分析
　　分布式文件系统实用工具
　　
　　由于网络越来越普及，分布式文件系统应用越来越多，其应用也越来越广，基于网络来排除故障的工具的使用价值也在不断上升。对需要经常与网络打交道的朋友，这部分不可不看。
　　
　　基于网络的工具，也不是仅仅这些。Windows2000的资源工具中配备了相当多的此类软件――也就是下面将介绍的“网络管理工具”。这一系列的工具有16个，分别是：
　　
　　工具名称 　　　　　　　　　　　对应的可执行文件名称
　　ADSI Edit 　　　　　　　　　　　　　操作控制台
　　DNS Server Troubleshooting Tool 　　(Dnscmd.exe)
　　DsAcls　　　　　　　　　　　　　　　(Dsacls.exe)
　　DsaStat　　　　　　　　　　　　　　 (Dsastat.exe)
　　Kerberos Setup　　　　　　　　　　　(Ksetup.exe)
　　Kerberos Keytab Setup　　　　　　　 (Ktpass.exe)
　　Active Directory Administration Tool (Ldp.exe)
　　Active Directory Object Manager 　　(Movetree.exe)
　　Windows 2000 Domain Manager　　　　 (Netdom.exe)
　　NlTest　　　　　　　　　　　　　　　(Nltest.exe)
　　Remote Command Line　　　　　　　　 (Remote.exe)
　　Replication Diagnostics Tool　　　　(Repadmin.exe)
　　Active Directory Replication Monitor (Replmon.exe)
　　Security Descriptor Check Utility 　(Sdcheck.exe)
　　Active Directory Search Tool　　　　(Search.vbs)
　　Winsock Remote Console　　　　　　　(Wsremote.exe)
　　
　　正因这些工具都是基于网络的、或是应用于网络环境之下的，所以真正有机会动手实践的人，与个人计算机环境相比，是少之又少了。但任何一项技术能发展与否，都取决于其生命力。现在网络之普及，给网络技术的普及带来了巨大的生命力，保持于这种普及同步的技术优势，是将来决胜之策。
　　
　　我所以整理出来这些资料，一为学习，二为与诸位共勉。话都说到这样诚恳的地步了，所以，尤其希望各位发现有不当之处，一定要批评指正，方不负我一片诚意。
　　
　　DNS服务器故障排除工具
　　
　　这个工具的英文全名是：DNS Server Troubleshooting Tool，作用是排除域名服务系统的故障，缩写为：DNScmd。这是供系统管理员在域名服务系统（DNS）中使用的一个工具，工具运行的形式是基于命令行的。利用该工具，系统管理员可以观察域名服务系统的属性、范围、资源记录。此外，这个工具也允许以手工形式修改上述的属性，也就是可以建立、删除资源记录，或者在域名服务器的物理内存和域名服务数据库及数据文件之间强行进行事件复制的操作。
　　
　　在Windows NT中，原有与此相关的一个工具，称为：Dnsstat.exe（可以在Windows NT Resource Kit中找到），而DNScmd.exe，就是前者的强化版本。
　　
　　前面已经述及：这是一个命令行的工具，凡是命令行程序，都需要先运行命令控制台CMD。由于前面的文章中已经介绍过CMD的用法，所以，此处不再多加解释。以下的部分，假设你已经打开了命令控制台。
　　
　　DNScmd.exe的用法
　　
　　如果想获得DNScmd.exe的帮助，可以使用DNScmd/?的命令形式来取得帮助的详细信息；DNScmd.exe包含有很多条命令，如果想得到一个指定的命令的应用帮助，可以采用这种形式：Dnscmd command /?，其中，command是所指定的一条命令的名称（具体参看下面介绍），command前面的空格不能省去。
　　
　　我在自己的机器上进行了验证，运行CMD之后，在系统提示符之后键入dnscmd/?，然后回车，其显示如下，考虑到篇幅限制，中间有省略号的地方，是被省略了的项目：
　　
　　Microsoft Windows 2000 [Version 5.00.2195]
　　(C) 版权所有 1985-1998 Microsoft Corp.
　　
　　C:\>dnscmd/?
　　
　　USAGE: DnsCmd []
　　
　　:
　　. 　　　　　　　　　-- local machine using LPC
　　IP address　　　　　-- RPC over TCP/IP
　　DNS name　　　　　　-- RPC over TCP/IP
　　other server name　 -- RPC over named pipes
　　:
　　/Info 　　　　　　　-- Get server information
　　……
　　/ResetForwarders　-- Set DNS servers to forward recursive queries to
　　
　　/ZoneInfo　　　　　 -- View zone information
　　……
　　/ZoneResetMasters　 -- Reset secondary zone's master servers
　　/EnumRecords 　　　 -- Enumerate records at a name
　　/RecordAdd　　　　　-- Create a record in zone or RootHints
　　/RecordDelete 　　　-- Delete a record from zone, RootHints or Cache d
　　ata
　　/NodeDelete 　　　　-- Delete all records at a name
　　/AgeAllRecords　　　-- Force aging on node(s) in zone
　　:
　　-- parameters specific to each Command
　　dnscmd /? -- For help info on specific Command
　　
　　C:\>
　　
　　与正式的帮助文档相比，这里的帮助提示很简略。但最重要的发现，还是两者所提供的命令总数不相同。这种正式帮助文档和在线提示中不一致的情况已经不是第一次了。究竟何处不同，在介绍相关命令的时候，会给各位提醒的。
　　
　　由于Windows2000很重视安全问题，所以，像这类涉及修改重要属性的工具，也必须对工具的使用者进行权限验证，没有通过正确登录系统的使用者，也不可能使用这个工具。也就是说，这个工具只能由经过正确登录的、已经得到信任的用户来使用。说起来似乎很复杂，其实，你只要能以系统管理员的身份登录Windows2000,就可以进入命令控制台中使用它。
　　
　　命令使用形式：
　　
　　所有Dnscmd.exe的命令使用都有统一的形式，请看下一行：
　　
　　dnscmd ServerName Command [Command Parameters]
　　
　　完整的命令语法共分四个部分：dnscmd是工具名称，不能省略。
　　
　　ServerName是服务器名称，不能省略。
　　Command所指定的命令，不能省略。
　　Command Parameters命令参数，是可选的项目。
　　
　　这四个部分中：
　　
　　A ：工具（程序）名称没有可多说的，直接使用就是了；
　　
　　B：服务器名称是由系统管理员规划设计的一个用于管理的机器名称，在此处，服务器名称是作为一个变量来使用的，既然是变量，当真正执行的时候，肯定要被具体的“值”所取代。取代服务器名称的是以下各项目：
　　1. 指定的本地计算机，利用本地连接访问来工作。本地连接访问在英文中被缩写为：LPC
　　2. 使用IP地址，IP地址的格式是：xx.xx.xx.xx。指定DNS服务器，工作时需要经由TCP/IP，利用远程连接访问方式。远程连接访问在英文中被缩写为：RPC。
　　3. 指定的DNS名称：这个名称必须是完整的、有资格的（经过身份验证的）DNS服务器名称（即FQDN），工作也需要经由TCP/IP，利用远程连接访问方式。
　　4. NetBIOS 名称：类似于上一个，只是依据的是NetBIOS而不是经由TCP/IP，工作也需要利用远程连接访问方式。
　　
　　C ：命令 command
　　Command是命令的名字，本工具有很多个命令，不同的命令功能不同。具体可以参看以下的介绍。
　　
　　D：命令参数
　　这时可选项目，有些命令可能并没有参数。
　　
　　到此，我们已经将使用这个工具的所有前期准备工作都作完了。从下一篇开始，将介绍每个命令的语法、使用方法和例子分析。

---

作者: 童话    时间: 2006-5-22 09:40

一步步从Win2k DNS 移植到 Linux 下 　　一、准备工作：
　　首先进入win2k, DNS 服务管理器，选 查看--列表；
　　然后导出列表到一个文件： mydomain.txt
　　
　　进入 \winnt\system32\dns 将所有文件打包，和mydomain.txt 一起复制到linux下。
　　
　　二、开始迁移：
　　1、生成配置文件：
　　
　　主域配置文件：
　　执行如下脚本：
　　
　　#!/usr/bin/perl
　　##################################################################
　　$configfile = "/etc/named.conf";
　　$dnsfile = "/var/named";
　　$importfile = "mydomain.txt";
　　
　　system("/bin/echo > $configfile");
　　
　　open(OUTFILE,">>$configfile");
　　flock (OUTFILE,2);
　　print OUTFILE "options {\n";
　　print OUTFILE " directory \"$dnsfile\";\n";
　　print OUTFILE " forwarders {\n";
　　print OUTFILE " 202.96.199.133;\n";
　　print OUTFILE " 202.96.209.5;\n";
　　print OUTFILE " };\n";
　　print OUTFILE "};\n";
　　print OUTFILE "zone \".\" {\n";
　　print OUTFILE " type hint;\n";
　　print OUTFILE " file \"named.ca\";\n";
　　print OUTFILE "};\n";
　　
　　open(INFILE,$importfile);
　　@lines = ;
　　
　　$num=0;
　　foreach $line (@lines) {
　　
　　chop ($line);
　　print OUTFILE "zone \"$line\" {\n";
　　print OUTFILE " type master;\n";
　　print OUTFILE " file \"$line.dns\";\n";
　　print OUTFILE "};\n";
　　
　　$num ++;
　　}
　　close(INFILE);
　　close (OUTILE);
　　print "$num Record convert!!\n";
　　
　　exit;
　　
　　生成备份域配置文件： 执行这个脚本：
　　
　　#!/usr/bin/perl
　　##################################################################
　　$configfile = "/etc/named.conf";
　　$dnsfile = "/var/named";
　　$importfile = "mydomain.txt";
　　$masterns = "1.1.1.";
　　
　　system("/bin/echo > $configfile");
　　
　　open(OUTFILE,">>$configfile");
　　flock (OUTFILE,2);
　　print OUTFILE "options {\n";
　　print OUTFILE " directory \"$dnsfile\";\n";
　　print OUTFILE " forwarders {\n";
　　print OUTFILE " 202.96.199.133;\n";
　　print OUTFILE " 202.96.209.5;\n";
　　print OUTFILE " };\n";
　　print OUTFILE "};\n";
　　print OUTFILE "zone \".\" {\n";
　　print OUTFILE " type hint;\n";
　　print OUTFILE " file \"named.ca\";\n";
　　print OUTFILE "};\n";
　　
　　open(INFILE,$importfile);
　　@lines = ;
　　
　　$num=0;
　　foreach $line (@lines) {
　　
　　chop ($line);
　　print OUTFILE "zone \"$line\" {\n";
　　print OUTFILE " type slave;\n";
　　print OUTFILE " file \"$line.dns\";\n";
　　print OUTFILE " masters { $masterns; };\n";
　　print OUTFILE "};\n";
　　
　　$num ++;
　　}
　　close(INFILE);
　　close (OUTILE);
　　print "$num Record convert!!\n";
　　
　　exit;
　　
　　2、复制DNS记录：将从windows下复制过来到dns文件复制到 /var/named 下；
　　
　　主备域此操作相同。
　　
　　3、在/var/named下执行：
　　
　　mv CACHE.DNS named.ca #配置文件windows和linux命名不同。
　　chown named:named * #更改所有者
　　chmod 644 * #更改权限
　　
　　4、编辑 /etc/resolv.conf 如下：
　　
　　search mydomain.com.cn
　　domain mydomain.com.cn
　　nameserver 1.1.1.1
　　nameserver 202.96.199.133
　　nameserver 202.96.209.5
　　
　　5、启动named服务。 /etc/init.d/named start
　　6、关闭原来的NS服务器。
　　7、将linux服务器的IP改成win2k的IP。
　　
　　现在你可以把原来的NS服务器格式化，装个XP打CS啦。。。注释掉的------>一步步从Win2k DNS 移植到 Linux 下 　　一、准备工作：
　　首先进入win2k, DNS 服务管理器，选 查看--列表；
　　然后导出列表到一个文件： mydomain.txt
　　
　　进入 \winnt\system32\dns 将所有文件打包，和mydomain.txt 一起复制到linux下。
　　
　　二、开始迁移：
　　1、生成配置文件：
　　
　　主域配置文件：
　　执行如下脚本：
　　
　　#!/usr/bin/perl
　　##################################################################
　　$configfile = "/etc/named.conf";
　　$dnsfile = "/var/named";
　　$importfile = "mydomain.txt";
　　
　　system("/bin/echo > $configfile");
　　
　　open(OUTFILE,">>$configfile");
　　flock (OUTFILE,2);
　　print OUTFILE "options {\n";
　　print OUTFILE " directory \"$dnsfile\";\n";
　　print OUTFILE " forwarders {\n";
　　print OUTFILE " 202.96.199.133;\n";
　　print OUTFILE " 202.96.209.5;\n";
　　print OUTFILE " };\n";
　　print OUTFILE "};\n";
　　print OUTFILE "zone \".\" {\n";
　　print OUTFILE " type hint;\n";
　　print OUTFILE " file \"named.ca\";\n";
　　print OUTFILE "};\n";
　　
　　open(INFILE,$importfile);
　　@lines = ;
　　
　　$num=0;
　　foreach $line (@lines) {
　　
　　chop ($line);
　　print OUTFILE "zone \"$line\" {\n";
　　print OUTFILE " type master;\n";
　　print OUTFILE " file \"$line.dns\";\n";
　　print OUTFILE "};\n";
　　
　　$num ++;
　　}
　　close(INFILE);
　　close (OUTILE);
　　print "$num Record convert!!\n";
　　
　　exit;
　　
　　生成备份域配置文件： 执行这个脚本：
　　
　　#!/usr/bin/perl
　　##################################################################
　　$configfile = "/etc/named.conf";
　　$dnsfile = "/var/named";
　　$importfile = "mydomain.txt";
　　$masterns = "1.1.1.";
　　
　　system("/bin/echo > $configfile");
　　
　　open(OUTFILE,">>$configfile");
　　flock (OUTFILE,2);
　　print OUTFILE "options {\n";
　　print OUTFILE " directory \"$dnsfile\";\n";
　　print OUTFILE " forwarders {\n";
　　print OUTFILE " 202.96.199.133;\n";
　　print OUTFILE " 202.96.209.5;\n";
　　print OUTFILE " };\n";
　　print OUTFILE "};\n";
　　print OUTFILE "zone \".\" {\n";
　　print OUTFILE " type hint;\n";
　　print OUTFILE " file \"named.ca\";\n";
　　print OUTFILE "};\n";
　　
　　open(INFILE,$importfile);
　　@lines = ;
　　
　　$num=0;
　　foreach $line (@lines) {
　　
　　chop ($line);
　　print OUTFILE "zone \"$line\" {\n";
　　print OUTFILE " type slave;\n";
　　print OUTFILE " file \"$line.dns\";\n";
　　print OUTFILE " masters { $masterns; };\n";
　　print OUTFILE "};\n";
　　
　　$num ++;
　　}
　　close(INFILE);
　　close (OUTILE);
　　print "$num Record convert!!\n";
　　
　　exit;
　　
　　2、复制DNS记录：将从windows下复制过来到dns文件复制到 /var/named 下；
　　
　　主备域此操作相同。
　　
　　3、在/var/named下执行：
　　
　　mv CACHE.DNS named.ca #配置文件windows和linux命名不同。
　　chown named:named * #更改所有者
　　chmod 644 * #更改权限
　　
　　4、编辑 /etc/resolv.conf 如下：
　　
　　search mydomain.com.cn
　　domain mydomain.com.cn
　　nameserver 1.1.1.1
　　nameserver 202.96.199.133
　　nameserver 202.96.209.5
　　
　　5、启动named服务。 /etc/init.d/named start
　　6、关闭原来的NS服务器。
　　7、将linux服务器的IP改成win2k的IP。
　　
　　现在你可以把原来的NS服务器格式化，装个XP打CS啦。。。

---

作者: 童话    时间: 2006-5-22 09:41

在Win 2003中为Web站点配置DNS记录
　　概要
　　本文介绍了如何配置“域名系统”(DNS) 服务器，使其承载可从外部访问（即从Internet 访问）的 Web 站点。
　　如何获取 IP 地址若要承载可从外部访问的 Web 站点，必须从您的 Internet 服务提供商 (ISP) 那里获取一个公用 IP 地址。并将此 IP 地址指定到 DNS 服务器所连接防火墙或路由器的外部接口
　　
　　如何注册域名
　　通过 Internet 域名注册管理机构（这样的管理机构被称为注册机构）为您的组织注册一个父级或二级 DNS 域名。有关全球认可的注册机构的列表，请访问下面的
　　Internet Corporation for Assigned Names and Numbers (ICANN) 网站：
　　Internet Corporation for Assigned Names and Numbers
　　

[color="#003366"]http://www.icann.org


　　
　　各注册机构的注册过程可能会有所不同，但您还是可以按以下步骤来注册域名：进行搜索，确认要注册的名称是否可用。提供该帐户的联系信息和交费信息（包括电子邮件地址）。键入主从 DNS 服务器的完全合格的域名称 (FQDN)。
　　
　　备注：这些是 ISP 提供的公用 IP 地址。
　　支付年费或作好支付年费的准备。
　　
　　如何配置 Web 服务器
　　安装和配置 Microsoft Internet 信息服务 (IIS)（如果尚未安装）。
　　
　　如何为 Web 服务器创建 DNS 项
　　请为配置了 IIS 的 DNS 服务器创建别名或 CNAME 记录。这样就可以确保外部主机能够使用“www”主机名来连接您的 Web 服务器。创建方法是：
　　打开 DNS 管理单元。方法是：单击开始，指向管理工具，然后单击 DNS。
　　在 DNS 下，展开“主机名”（其中主机名 是 DNS 服务器的主机名）。
　　展开正向搜索区域。
　　在正向搜索区域下，右键单击所需区域（例如，域名.com。），然后单击新建别名(CNAME)。
　　在“别名”框中，键入 www。
　　在“目标主机的完全合格的名称”框中，键入安装 IIS 的 DNS 服务器的完全合格的主机名。例如，键入 dns.域名.com，然后单击确定。注释掉的------>在Win 2003中为Web站点配置DNS记录
　　概要
　　本文介绍了如何配置“域名系统”(DNS) 服务器，使其承载可从外部访问（即从Internet 访问）的 Web 站点。
　　如何获取 IP 地址若要承载可从外部访问的 Web 站点，必须从您的 Internet 服务提供商 (ISP) 那里获取一个公用 IP 地址。并将此 IP 地址指定到 DNS 服务器所连接防火墙或路由器的外部接口
　　
　　如何注册域名
　　通过 Internet 域名注册管理机构（这样的管理机构被称为注册机构）为您的组织注册一个父级或二级 DNS 域名。有关全球认可的注册机构的列表，请访问下面的
　　Internet Corporation for Assigned Names and Numbers (ICANN) 网站：
　　Internet Corporation for Assigned Names and Numbers
　　

http://www.icann.org


　　
　　各注册机构的注册过程可能会有所不同，但您还是可以按以下步骤来注册域名：进行搜索，确认要注册的名称是否可用。提供该帐户的联系信息和交费信息（包括电子邮件地址）。键入主从 DNS 服务器的完全合格的域名称 (FQDN)。
　　
　　备注：这些是 ISP 提供的公用 IP 地址。
　　支付年费或作好支付年费的准备。
　　
　　如何配置 Web 服务器
　　安装和配置 Microsoft Internet 信息服务 (IIS)（如果尚未安装）。
　　
　　如何为 Web 服务器创建 DNS 项
　　请为配置了 IIS 的 DNS 服务器创建别名或 CNAME 记录。这样就可以确保外部主机能够使用“www”主机名来连接您的 Web 服务器。创建方法是：
　　打开 DNS 管理单元。方法是：单击开始，指向管理工具，然后单击 DNS。
　　在 DNS 下，展开“主机名”（其中主机名 是 DNS 服务器的主机名）。
　　展开正向搜索区域。
　　在正向搜索区域下，右键单击所需区域（例如，域名.com。），然后单击新建别名(CNAME)。
　　在“别名”框中，键入 www。
　　在“目标主机的完全合格的名称”框中，键入安装 IIS 的 DNS 服务器的完全合格的主机名。例如，键入 dns.域名.com，然后单击确定。

---

作者: 童话    时间: 2006-5-22 09:41

在Win 2003中为DNS配置Internet访问
　　概要
　　本分步指南说明如何在 Windows Server 2003 产品中为域名系统 (DNS) 配置 Internet 访问。DNS 是 Internet 上使用的核心名称解析工具。DNS 负责主机名称和 Internet 地址之间的解析
　　如何从运行 Windows Server 2003 的独立服务器开始运行 Windows Server 2003 的独立服务器成为网络的 DNS 服务器。第一步，为该服务器分配一个静态 Internet 协议 (IP) 地址。DNS 服务器不应该使用动态分配的 IP 地 址，因为地址的动态更改会使客户端与 DNS 服务器失去联系。
　　第 1 步：配置 TCP/IP
　　单击开始，指向控制面板，指向网络连接，然后单击本地连接。
　　单击属性.
　　单击 Internet 协议 (TCP/IP)。，然后单击属性.
　　单击常规 选项卡。
　　单击使用下面的 IP 地址，然后在相应的框中键入 IP 地址、子网掩码和默认网关地址。
　　单击高级，然后单击 DNS 选项卡。
　　单击附加主要的和连接特定的 DNS 后缀。
　　单击以选中附加主 DNS 后缀的父后缀复选框。
　　单击以选中在 DNS 中注册此连接的地址复选框。
　　注意，运行 Windows Server 2003 的 DNS 服务器必须将其 DNS 服务器指定为它本身。如果该服务器需要解析来自它的 Internet 服务提供商 (ISP) 的名称，您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。 单击确定 三次。
　　备注: 如果收到一个来自 DNS 缓存解析器服务的警告，单击确定 关闭该警告。缓存解析器正试图与 DNS 服务器取得联系，但您尚未完成该服务器的配置。
　　第 2 步：安装 Microsoft DNS 服务器
　　单击开始，指向控制面板，然后单击添加或删除程序。
　　单击添加或删除 Windows 组件。
　　在组件 列表中，单击网络服务 （但不要选中或清除该复选框），然后单击详细信息.
　　单击以选中域名系统 (DNS) 复选框，然后单击确定。
　　单击下一步.
　　得到提示后，将 Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。
　　安装完成时，在完成 Windows 组件向导页上单击完成 。
　　单击关闭 关闭添加或删除程序窗口。
　　第 3 步：配置 DNS 服务器
　　要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS，请按照下列步骤操作：
　　单击开始，指向程序，指向管理工具，然后单击DNS。
　　右击正向搜索区域，然后单击新建 区域。
　　当“新建区域向导”启动后，单击下一步.
　　接着将提示您选择区域类型。区域类型包括：
　　主要区域：创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns 文本文件中。
　　辅助区域：标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意，您无法修改辅助 DNS 服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。
　　存根区域：存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的 glue 主机 (A) 记录。
　　Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。
　　新的正向搜索区域必须是主要区域或 Active Directory 集成的区域，以便它能够接受动态更新。单击主要，然后单击下一步.
　　新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同，或者是该名称的逻辑 DNS 容器。例如，如果基于Active Directory 的域的名称为“support.microsoft.com”，那么有效的区域名称只能是“support.microsoft.com”。
　　接受新区域文件的默认名称。单击下一步.
　　备注: 有经验的 DNS 管理员可能希望创建反向搜索区域，因此建议他们钻研向导的这个分支。DNS 服务器可以解析两种基本的请求：正向搜索请求和反向搜索请求。正向搜索更普遍一些。正向搜索将主机名称解析为一个带有“A”或主机资源记录的 IP 地址。反向搜索将 IP 地址解析为一个带有 PTR 或指针资源记录的主机名称。如果您配置了反向DNS 区域，您可以在创建原始正向记录时自动创建关联的反向记录。
　　如何移除根 DNS 区域
　　运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存，然后检查它的区域记录，接下来将请求发送到转发器，最后使用根服务器尝试解析。
　　默认情况下，Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo 工具将服务器提升为域控制器时，域控制器需要 DNS。如果在提升过程中安装 DNS，会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此，您的 DNS 服务器在名称解析过程中并不使用转发器或根提示。
　　单击开始，指向管理工具，然后单击DNS。
　　展开 ServerName，其中 ServerName 是服务器的名称，单击属性 ，然后展开正向搜索区域。
　　右击"." 区域，然后单击删除.
　　如何配置转发器
　　Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录，可以将请求发送给另一台 DNS 服务器，以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。
　　单击开始，指向管理工具，然后单击DNS。
　　右击 ServerName，其中 ServerName 是服务器的名称，然后单击转发器 选项卡。
　　单击DNS 域 列表中的一个 DNS 域。或者单击新建，在DNS 域 框中键入希望转发查询的DNS 域的名称，然后单击确定.
　　在所选域的转发器 IP 地址框中，键入希望转发到的第一个 DNS 服务器的 IP 地址，然后单击添加.
　　重复步骤 4，添加希望转发到的 DNS 服务器。
　　单击确定.
　　如何配置根提示
　　Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%\System32\DNS\Cache.dns) 中。Windows 使用标准的 Internic 根服务器。另外，当运行 Windows Server 2003 的服务器查询根服务器时，它将用最新的根服务器列表更新自身。
　　单击开始，指向管理工具，然后单击DNS。
　　右击 ServerName，其中 ServerName 是服务器的名称，然后单击属性.
　　单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。
　　如何在防火墙后配置 DNS
　　代理和网络地址转换 (NAT) 设备可以限制对端口的访问。DNS 使用 UDP 端口 A 和TCP 端口 53。DNS 服务管理控制台也使用 RCP。RCP 使用端口 135。当您配置 DNS 和防火墙时，这些问题都有可能发生。注释掉的------>在Win 2003中为DNS配置Internet访问
　　概要
　　本分步指南说明如何在 Windows Server 2003 产品中为域名系统 (DNS) 配置 Internet 访问。DNS 是 Internet 上使用的核心名称解析工具。DNS 负责主机名称和 Internet 地址之间的解析
　　如何从运行 Windows Server 2003 的独立服务器开始运行 Windows Server 2003 的独立服务器成为网络的 DNS 服务器。第一步，为该服务器分配一个静态 Internet 协议 (IP) 地址。DNS 服务器不应该使用动态分配的 IP 地 址，因为地址的动态更改会使客户端与 DNS 服务器失去联系。
　　第 1 步：配置 TCP/IP
　　单击开始，指向控制面板，指向网络连接，然后单击本地连接。
　　单击属性.
　　单击 Internet 协议 (TCP/IP)。，然后单击属性.
　　单击常规 选项卡。
　　单击使用下面的 IP 地址，然后在相应的框中键入 IP 地址、子网掩码和默认网关地址。
　　单击高级，然后单击 DNS 选项卡。
　　单击附加主要的和连接特定的 DNS 后缀。
　　单击以选中附加主 DNS 后缀的父后缀复选框。
　　单击以选中在 DNS 中注册此连接的地址复选框。
　　注意，运行 Windows Server 2003 的 DNS 服务器必须将其 DNS 服务器指定为它本身。如果该服务器需要解析来自它的 Internet 服务提供商 (ISP) 的名称，您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。 单击确定 三次。
　　备注: 如果收到一个来自 DNS 缓存解析器服务的警告，单击确定 关闭该警告。缓存解析器正试图与 DNS 服务器取得联系，但您尚未完成该服务器的配置。
　　第 2 步：安装 Microsoft DNS 服务器
　　单击开始，指向控制面板，然后单击添加或删除程序。
　　单击添加或删除 Windows 组件。
　　在组件 列表中，单击网络服务 （但不要选中或清除该复选框），然后单击详细信息.
　　单击以选中域名系统 (DNS) 复选框，然后单击确定。
　　单击下一步.
　　得到提示后，将 Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。
　　安装完成时，在完成 Windows 组件向导页上单击完成 。
　　单击关闭 关闭添加或删除程序窗口。
　　第 3 步：配置 DNS 服务器
　　要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS，请按照下列步骤操作：
　　单击开始，指向程序，指向管理工具，然后单击DNS。
　　右击正向搜索区域，然后单击新建 区域。
　　当“新建区域向导”启动后，单击下一步.
　　接着将提示您选择区域类型。区域类型包括：
　　主要区域：创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns 文本文件中。
　　辅助区域：标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意，您无法修改辅助 DNS 服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。
　　存根区域：存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的 glue 主机 (A) 记录。
　　Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。
　　新的正向搜索区域必须是主要区域或 Active Directory 集成的区域，以便它能够接受动态更新。单击主要，然后单击下一步.
　　新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同，或者是该名称的逻辑 DNS 容器。例如，如果基于Active Directory 的域的名称为“support.microsoft.com”，那么有效的区域名称只能是“support.microsoft.com”。
　　接受新区域文件的默认名称。单击下一步.
　　备注: 有经验的 DNS 管理员可能希望创建反向搜索区域，因此建议他们钻研向导的这个分支。DNS 服务器可以解析两种基本的请求：正向搜索请求和反向搜索请求。正向搜索更普遍一些。正向搜索将主机名称解析为一个带有“A”或主机资源记录的 IP 地址。反向搜索将 IP 地址解析为一个带有 PTR 或指针资源记录的主机名称。如果您配置了反向DNS 区域，您可以在创建原始正向记录时自动创建关联的反向记录。
　　如何移除根 DNS 区域
　　运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存，然后检查它的区域记录，接下来将请求发送到转发器，最后使用根服务器尝试解析。
　　默认情况下，Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo 工具将服务器提升为域控制器时，域控制器需要 DNS。如果在提升过程中安装 DNS，会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此，您的 DNS 服务器在名称解析过程中并不使用转发器或根提示。
　　单击开始，指向管理工具，然后单击DNS。
　　展开 ServerName，其中 ServerName 是服务器的名称，单击属性 ，然后展开正向搜索区域。
　　右击"." 区域，然后单击删除.
　　如何配置转发器
　　Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录，可以将请求发送给另一台 DNS 服务器，以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。
　　单击开始，指向管理工具，然后单击DNS。
　　右击 ServerName，其中 ServerName 是服务器的名称，然后单击转发器 选项卡。
　　单击DNS 域 列表中的一个 DNS 域。或者单击新建，在DNS 域 框中键入希望转发查询的DNS 域的名称，然后单击确定.
　　在所选域的转发器 IP 地址框中，键入希望转发到的第一个 DNS 服务器的 IP 地址，然后单击添加.
　　重复步骤 4，添加希望转发到的 DNS 服务器。
　　单击确定.
　　如何配置根提示
　　Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%\System32\DNS\Cache.dns) 中。Windows 使用标准的 Internic 根服务器。另外，当运行 Windows Server 2003 的服务器查询根服务器时，它将用最新的根服务器列表更新自身。
　　单击开始，指向管理工具，然后单击DNS。
　　右击 ServerName，其中 ServerName 是服务器的名称，然后单击属性.
　　单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。
　　如何在防火墙后配置 DNS
　　代理和网络地址转换 (NAT) 设备可以限制对端口的访问。DNS 使用 UDP 端口 A 和TCP 端口 53。DNS 服务管理控制台也使用 RCP。RCP 使用端口 135。当您配置 DNS 和防火墙时，这些问题都有可能发生。

---

作者: 童话    时间: 2006-5-22 09:41

网管经验之Windows服务器DNS故障问题
　　在开始讨论如何排除DNS问题之前，我们想知道你是否清楚怎样判断某个问题是由DNS而不是由别的命名服务造成的。在Windows主机上，判断问题的原因是否真的出在DNS上可是件困难的事。Windows支持的命名服务真是名目繁多：如DNS、Wins、HOSTS、LMHOSTS等数不胜数。然而常用的Windows 2000 nslookup 却全然不理会其他这些命名服务。你可能会只顾在Windows 2000计算机上运行nslookup和查询名称服务器，而有问题的服务却可能在使用另一种不同的命名服务。首先，你需要考虑是哪一类程序出了问题，如果是TCP/IP客户端，如telnet或ftp，那么问题可能出在DNS和HOSTS文件上。如果是一个支持NetBIOS命名的实用程序，如net（与在net use中一样）中，那么值得怀疑的还要包括Wins和LMHOSTS文件。其他也使用DNS名称或NetBIOS名称作为参数的客户端（如ping）也会使用这些命名服务中的任意一种。接下来，再考虑Windows使用这些命名服务的顺序。在查找问题时，应按照此顺序检查各种服务。这些提示对你查出问题的症结会有帮助，至少可帮你排除一个怀疑对象。
　　
　　如果要检查一个服务器的缓存区，请单击DNS控制台左窗格中该服务器名称左边的加号。你将看到一个名为Cached Lookups的文件夹。单击其左边的加号或双击文件夹图标或标签以展开下一级。这样可显示出你的名称服务器已为其缓存了数据的那些顶级域。继续展开，直至看到你要查看的缓存数据所在的那一域名。如我们的名称服务器已为microsoft.com缓存了三条NS记录和一条A记录。如果依次双击net和hp,我们还会看到这些名称服务器的缓存地址。如果想看缓存数据上的 TTL，请双击右窗格中的一条记录。若 DNS 控制台处于高级查看模式（选择查看 > 高级），则出现的窗口将显示出该记录的 TTL。在检查 TTL 之前，一定要用操作 > 刷新或用 F5 键刷新 DNS 控制台，否则你看到的 TTL 可能会大于当前 TTL。如果右键单击该记录，你可能会注意到有一个删除记录选项。
　　
　　DNS的一些常见的错误
　　
　　1. 忘记增加序列号
　　
　　在你未使用 DNS 控制台而是用手动方式更改区域数据文件时，就会出现一些问题。DNS 控制台在它每次更改区域数据时都会记着在 SOA 记录中增加序列号，所以你不必为此操心。不过，这也意味着你可能不会养成更新序列号的习惯，所以在进行一次性手动修改时，你可能会忘记增加序列号。此问题的主要症状是，从属名称服务器不会获得你在主服务器上对该区域做的任何更改。从属服务器认为区域数据并未更改，因为它看到的序列号仍是原来的序列号。该怎样检查当时是否记着增加序列号呢？不幸的是，这就不是那么容易了。如果你不记得原序列号是什么，而现在的序列号不能表明它是什么时候更新的，则没有直接的方法判断它是否已更改。在启动主服务器时，不管你是否更改了序列号，它都将加载更新后的区域数据文件。最好的办法只能是使用 nslookup 来比较主服务器和从属服务器返回的数据。如果它们返回不同的数据，则表明你可能忘了增加序列号。如果你能想起最近作的一次更改，则可以查看此数据。如果记不起最近一次作的更改，则可以从一个主服务器和一个从属服务器复制该区域，将结果排序并使用文件比较工具将它们加以比较。还有一个好消息，即，尽管确定该区域此前是否已复制比较难，但现在要确保该区域被复制却非常简单。只须在 DNS 控制台中双击 SOA 记录并手动编辑序列号字段，增加主服务器上此区域的副本中的序列号即可。从属服务器将在刷新时间间隔内获得此新的数据，如果它们用了 NOTIFY，则会更快。
　　
　　2. 以手动方式更改DNS服务器
　　
　　要记住 Microsoft DNS 服务器会定期更新其区域数据文件。每次用 DNS 控制台对一个区域的数据进行更改时，就有一个写操作挂起：在 DNS 服务器退出之前，它必须重写该区域的数据文件，否则它就会丢失你所作的更改。可以将此比作内存中一个已更新的页：操作系统在退出之前必须将它写到磁盘上。如果你在一个写操作挂起期间对一个区域数据文件作了手动更改，则在名称服务器退出后你会莫名其妙地丢失所作的更改。比如你在服务器正在运行且有一个写操作挂起时向一个名为microsoft.com的新子域添加了委派。作完更改后，你必须将服务器停下并再次启动，以让它再次读取该区域数据。但是在服务器退出时，它将重写 microsoft.com 区域数据文件，你的委派于是就会丢掉。如果仔细观察（平时就需要这样）事件查看器，会在服务器停止事件之前看到这样一条消息：The DNS server wrote version 37 of zone microsoft.com to file microsoft.com.dns.（DNS 服务器写入区域 microsoft.com 的版本 37 到文件 microsoft.com.dns。）如果你用操作 | 更新服务器数据文件来强制服务器重写其区域数据文件，则服务器就会与区域数据文件同步，而不必在退出时重写。所以，如果要对区域数据文件作手动更改，那么要么首先停止服务器（但这意味着在你作更改期间服务器将不响应任何查询），要么使用 DNS 控制台将服务器与区域数据文件同步，然后再进行更改。
　　
　　3. 从属服务器无法加载区域数据
　　
　　如果一个从属服务器无法从其主控服务器获取某个区域的当前序列号，那么最初它是不会给你发警告消息的。然而，如果该问题一直存在而且从属服务器在有效期时间内无法确定其数据是否是最新的，那么该区域就会过期。在一个 Microsoft DNS 服务器上，你将在事件查看器中看到与下文类似的一条消息：在获得成功区域复制或从这个区域作为其源的主服务器获得成功区域复制之前microsoft.com 区域就超时了，该区域已经被关闭。区域过期后，当你向名称服务器查询该区域中的数据时，就会收到 SERVFAIL 错误消息：
　　C:> nslookup robocop wormhole.microsoft.com.
　　Server: wormhole.microsoft.com
　　Addresses: 207.46.230.219, 192.253.253.1
　　wormhole.microsoft.com can’t find robocop.microsoft.com: Server failed
　　
　　出现此问题的原因主要有三个：由于网络故障与主控服务器的连接断开，为主控服务器配置的 IP 地址不正确，主控服务器上的区域数据文件中有语法错误。首先，应使用 DNS 控制台检查该从属服务器在尝试从中加载数据的那一（些）主控服务器的地址。右键单击左窗格中该区域的域名，选择属性，然后查看常规选项卡，确认它是否真是主名称服务器的 IP 地址。如果是，请检查到此 IP 地址的连接：C:> ping 207.46.230.219
　　Pinging 207.46.230.219 with 32 bytes of data:
　　Request timed out.
　　Request timed out.
　　Request timed out.
　　Request timed out.
　　
　　如果无法连接到主控服务器，请确定该服务器的主机是否真的在运行（例如，已通电），或检查网络问题。你可能还需要检查主控服务器对该区域中数据的查询是否返回权威性响应。如果主控服务器的响应对于该区域不是权威性的，则从属服务器就不从该主控服务器中复制此区域。可使用 nslookup 检查主控服务器的对于区域的 SOA 记录的权威性响应，命令格式如下：
　　C:> nslookup -norec -type=SOA microsoft.com. 207.46.230.219
　　
　　此命令向位于地址 152.104.1.6 的名称服务器发送一个非递归查询，以查询 microsoft.com 的 SOA 记录。我们必须发送非递归查询，这样位于 152.104.1.6 的名称服务器就不会将该查询转发给另一个服务器。如果将此主控服务器配置正确，则对此查询的响应就应是权威性的。（记住，除非 nslookup 返回了“非权威性”响应，否则响应就是权威性的。）非权威性的响应可能表明主控服务器在加载该区域时发生问题，通常是由于区域数据文件中存在语法错误。请与该主控服务器的管理员联系，让他检查其事件查看器或系统日志的输出中是否有表明出现语法错误的消息。我们从来还没有见到过 Windows 2000 名称服务器因为区域数据文件中有语法错误而对于此区域失去非权威性的情况，但旧的 BIND 名称服务器确实会表现出这种现象。所以，如果你的名称服务器是某一区域的从属服务器，而此区域的主要主名称服务器是 BIND 名称服务器，该服务器现在对该区域不具有权威性，那么问题可能就是一个语法错误。如果对查询的响应是权威性的但从属服务器仍无法成功复制该区域，那么你可以使用nslookup的ls命令来手动复制该区域。如果看到类似于下面的错误消息，则很可能是主控服务器限制区域复制：
　　C:> nslookup - 152.104.1.6
　　Default Server: terminator.microsoft.com
　　Address: 152.104.1.6
　　> ls microsoft.com
　　[terminator.microsoft.com]
　　*** Can‘t list domain microsoft.com: Query refused
　　
　　请与该主控服务器的管理员联系，问是否在对区域复制进行限制。请他检查你正在尝试复制的区域的属性窗口的区域复制选项卡上的选项（如果他在运行 Microsoft DNS 服务器）。如果该远程服务器在运行着 BIND，则请问他是否在使用 xfrnets 或 allow-transfer 功能来对区域复制进行限制。在问题已被排除而且你的服务器能成功复制该区域后，你会在事件查看器中看到下面的消息：A more recent version, version 212 of zone microsoft.com was
　　found at DNS server at 207.46.230.219. Zone transfer is in progress.
　　The DNS server wrote version 212 of zone microsoft.com to
　　
　　file microsoft.com.dns.（在 207.46.230.219 的 DNS 服务器上找到区域microsoft.com 的更新的版本212。正在进行区域复制。DNS 服务器写入区域 microsoft.com 的版本 212 到文件 microsoft.com.dns。）
　　
　　DNS故障还有几种情况，我们将在下期继续讨论。
　　

[color="#003366"]http://www.netadmin.com.cn/experience/20040609/2888.asp

　　
　　4. 网络连接断开注释掉的------>网管经验之Windows服务器DNS故障问题
　　在开始讨论如何排除DNS问题之前，我们想知道你是否清楚怎样判断某个问题是由DNS而不是由别的命名服务造成的。在Windows主机上，判断问题的原因是否真的出在DNS上可是件困难的事。Windows支持的命名服务真是名目繁多：如DNS、Wins、HOSTS、LMHOSTS等数不胜数。然而常用的Windows 2000 nslookup 却全然不理会其他这些命名服务。你可能会只顾在Windows 2000计算机上运行nslookup和查询名称服务器，而有问题的服务却可能在使用另一种不同的命名服务。首先，你需要考虑是哪一类程序出了问题，如果是TCP/IP客户端，如telnet或ftp，那么问题可能出在DNS和HOSTS文件上。如果是一个支持NetBIOS命名的实用程序，如net（与在net use中一样）中，那么值得怀疑的还要包括Wins和LMHOSTS文件。其他也使用DNS名称或NetBIOS名称作为参数的客户端（如ping）也会使用这些命名服务中的任意一种。接下来，再考虑Windows使用这些命名服务的顺序。在查找问题时，应按照此顺序检查各种服务。这些提示对你查出问题的症结会有帮助，至少可帮你排除一个怀疑对象。
　　
　　如果要检查一个服务器的缓存区，请单击DNS控制台左窗格中该服务器名称左边的加号。你将看到一个名为Cached Lookups的文件夹。单击其左边的加号或双击文件夹图标或标签以展开下一级。这样可显示出你的名称服务器已为其缓存了数据的那些顶级域。继续展开，直至看到你要查看的缓存数据所在的那一域名。如我们的名称服务器已为microsoft.com缓存了三条NS记录和一条A记录。如果依次双击net和hp,我们还会看到这些名称服务器的缓存地址。如果想看缓存数据上的 TTL，请双击右窗格中的一条记录。若 DNS 控制台处于高级查看模式（选择查看 > 高级），则出现的窗口将显示出该记录的 TTL。在检查 TTL 之前，一定要用操作 > 刷新或用 F5 键刷新 DNS 控制台，否则你看到的 TTL 可能会大于当前 TTL。如果右键单击该记录，你可能会注意到有一个删除记录选项。
　　
　　DNS的一些常见的错误
　　
　　1. 忘记增加序列号
　　
　　在你未使用 DNS 控制台而是用手动方式更改区域数据文件时，就会出现一些问题。DNS 控制台在它每次更改区域数据时都会记着在 SOA 记录中增加序列号，所以你不必为此操心。不过，这也意味着你可能不会养成更新序列号的习惯，所以在进行一次性手动修改时，你可能会忘记增加序列号。此问题的主要症状是，从属名称服务器不会获得你在主服务器上对该区域做的任何更改。从属服务器认为区域数据并未更改，因为它看到的序列号仍是原来的序列号。该怎样检查当时是否记着增加序列号呢？不幸的是，这就不是那么容易了。如果你不记得原序列号是什么，而现在的序列号不能表明它是什么时候更新的，则没有直接的方法判断它是否已更改。在启动主服务器时，不管你是否更改了序列号，它都将加载更新后的区域数据文件。最好的办法只能是使用 nslookup 来比较主服务器和从属服务器返回的数据。如果它们返回不同的数据，则表明你可能忘了增加序列号。如果你能想起最近作的一次更改，则可以查看此数据。如果记不起最近一次作的更改，则可以从一个主服务器和一个从属服务器复制该区域，将结果排序并使用文件比较工具将它们加以比较。还有一个好消息，即，尽管确定该区域此前是否已复制比较难，但现在要确保该区域被复制却非常简单。只须在 DNS 控制台中双击 SOA 记录并手动编辑序列号字段，增加主服务器上此区域的副本中的序列号即可。从属服务器将在刷新时间间隔内获得此新的数据，如果它们用了 NOTIFY，则会更快。
　　
　　2. 以手动方式更改DNS服务器
　　
　　要记住 Microsoft DNS 服务器会定期更新其区域数据文件。每次用 DNS 控制台对一个区域的数据进行更改时，就有一个写操作挂起：在 DNS 服务器退出之前，它必须重写该区域的数据文件，否则它就会丢失你所作的更改。可以将此比作内存中一个已更新的页：操作系统在退出之前必须将它写到磁盘上。如果你在一个写操作挂起期间对一个区域数据文件作了手动更改，则在名称服务器退出后你会莫名其妙地丢失所作的更改。比如你在服务器正在运行且有一个写操作挂起时向一个名为microsoft.com的新子域添加了委派。作完更改后，你必须将服务器停下并再次启动，以让它再次读取该区域数据。但是在服务器退出时，它将重写 microsoft.com 区域数据文件，你的委派于是就会丢掉。如果仔细观察（平时就需要这样）事件查看器，会在服务器停止事件之前看到这样一条消息：The DNS server wrote version 37 of zone microsoft.com to file microsoft.com.dns.（DNS 服务器写入区域 microsoft.com 的版本 37 到文件 microsoft.com.dns。）如果你用操作 | 更新服务器数据文件来强制服务器重写其区域数据文件，则服务器就会与区域数据文件同步，而不必在退出时重写。所以，如果要对区域数据文件作手动更改，那么要么首先停止服务器（但这意味着在你作更改期间服务器将不响应任何查询），要么使用 DNS 控制台将服务器与区域数据文件同步，然后再进行更改。
　　
　　3. 从属服务器无法加载区域数据
　　
　　如果一个从属服务器无法从其主控服务器获取某个区域的当前序列号，那么最初它是不会给你发警告消息的。然而，如果该问题一直存在而且从属服务器在有效期时间内无法确定其数据是否是最新的，那么该区域就会过期。在一个 Microsoft DNS 服务器上，你将在事件查看器中看到与下文类似的一条消息：在获得成功区域复制或从这个区域作为其源的主服务器获得成功区域复制之前microsoft.com 区域就超时了，该区域已经被关闭。区域过期后，当你向名称服务器查询该区域中的数据时，就会收到 SERVFAIL 错误消息：
　　C:> nslookup robocop wormhole.microsoft.com.
　　Server: wormhole.microsoft.com
　　Addresses: 207.46.230.219, 192.253.253.1
　　wormhole.microsoft.com can’t find robocop.microsoft.com: Server failed
　　
　　出现此问题的原因主要有三个：由于网络故障与主控服务器的连接断开，为主控服务器配置的 IP 地址不正确，主控服务器上的区域数据文件中有语法错误。首先，应使用 DNS 控制台检查该从属服务器在尝试从中加载数据的那一（些）主控服务器的地址。右键单击左窗格中该区域的域名，选择属性，然后查看常规选项卡，确认它是否真是主名称服务器的 IP 地址。如果是，请检查到此 IP 地址的连接：C:> ping 207.46.230.219
　　Pinging 207.46.230.219 with 32 bytes of data:
　　Request timed out.
　　Request timed out.
　　Request timed out.
　　Request timed out.
　　
　　如果无法连接到主控服务器，请确定该服务器的主机是否真的在运行（例如，已通电），或检查网络问题。你可能还需要检查主控服务器对该区域中数据的查询是否返回权威性响应。如果主控服务器的响应对于该区域不是权威性的，则从属服务器就不从该主控服务器中复制此区域。可使用 nslookup 检查主控服务器的对于区域的 SOA 记录的权威性响应，命令格式如下：
　　C:> nslookup -norec -type=SOA microsoft.com. 207.46.230.219
　　
　　此命令向位于地址 152.104.1.6 的名称服务器发送一个非递归查询，以查询 microsoft.com 的 SOA 记录。我们必须发送非递归查询，这样位于 152.104.1.6 的名称服务器就不会将该查询转发给另一个服务器。如果将此主控服务器配置正确，则对此查询的响应就应是权威性的。（记住，除非 nslookup 返回了“非权威性”响应，否则响应就是权威性的。）非权威性的响应可能表明主控服务器在加载该区域时发生问题，通常是由于区域数据文件中存在语法错误。请与该主控服务器的管理员联系，让他检查其事件查看器或系统日志的输出中是否有表明出现语法错误的消息。我们从来还没有见到过 Windows 2000 名称服务器因为区域数据文件中有语法错误而对于此区域失去非权威性的情况，但旧的 BIND 名称服务器确实会表现出这种现象。所以，如果你的名称服务器是某一区域的从属服务器，而此区域的主要主名称服务器是 BIND 名称服务器，该服务器现在对该区域不具有权威性，那么问题可能就是一个语法错误。如果对查询的响应是权威性的但从属服务器仍无法成功复制该区域，那么你可以使用nslookup的ls命令来手动复制该区域。如果看到类似于下面的错误消息，则很可能是主控服务器限制区域复制：
　　C:> nslookup - 152.104.1.6
　　Default Server: terminator.microsoft.com
　　Address: 152.104.1.6
　　> ls microsoft.com
　　[terminator.microsoft.com]
　　*** Can‘t list domain microsoft.com: Query refused
　　
　　请与该主控服务器的管理员联系，问是否在对区域复制进行限制。请他检查你正在尝试复制的区域的属性窗口的区域复制选项卡上的选项（如果他在运行 Microsoft DNS 服务器）。如果该远程服务器在运行着 BIND，则请问他是否在使用 xfrnets 或 allow-transfer 功能来对区域复制进行限制。在问题已被排除而且你的服务器能成功复制该区域后，你会在事件查看器中看到下面的消息：A more recent version, version 212 of zone microsoft.com was
　　found at DNS server at 207.46.230.219. Zone transfer is in progress.
　　The DNS server wrote version 212 of zone microsoft.com to
　　
　　file microsoft.com.dns.（在 207.46.230.219 的 DNS 服务器上找到区域microsoft.com 的更新的版本212。正在进行区域复制。DNS 服务器写入区域 microsoft.com 的版本 212 到文件 microsoft.com.dns。）
　　
　　DNS故障还有几种情况，我们将在下期继续讨论。
　　

http://www.netadmin.com.cn/experience/20040609/2888.asp

　　
　　4. 网络连接断开

---

作者: 童话    时间: 2006-5-22 09:42

[服务器维护经验谈]DNS巧解网络故障
　　服务器不仅仅是企业网络设备的中枢，也是企业软件及数据库应用的主体。在实际运行中服务器经常会出现这样或那样的故障，软件的或者硬件的。很多故障是没有规律可言的，我们只能通过经验去解决。笔者负责公司服务器的维护工作，在一次实际工作中遇到了服务器无法登录的故障，排查起来比较奇特，写出来和各位读者分享。
　　
　　一、故障现象：
　　
　　笔者公司规模不是很大，有大概50多台计算机，购买了两台IBM服务器,型号是X SERVICE 200。由于内部使用的某个应用软件需要Windows域的支持，所以在这两台IBM服务器上启用了windows 2000 server的域。一台作为域控制器DC，另一台设置为备份域控制器BDC。
　　
　　由于备份域控制器在管理域上主要起辅助作用，所以配置完毕后基本没有做任何修改和操作。然而前一段却出现了主域控制器DC那台服务器无法登录到系统桌面的故障，每次启动该域控制器都停留在2000的登录界面，即在要求输入管理员帐号和密码操作之前的界面，下方登录信息显示的是“正在连接网络”，等待近一个小时仍然没有任何进展，始终停留在“正在连接网络”提示处。重新启动该服务器按F8可以正常进入安全模式，然而只要一进入正常模式就出现上面提到的问题。
　　
　　二、排查故障：
　　
　　由于系统登录总是停留在“正在连接网络”处，所以笔者怀疑是网络出现问题，例如主域控制器无法通过DNS解析自己。尝试进入安全模式将网卡禁用，这样系统就不会搜索网络，尝试连接网络了。果然通过禁用网卡后系统可以正常进入桌面。
　　
　　不过禁用网卡并不能治本，虽然服务器可以登录桌面但是所提供的服务其他客户机也无法使用了。为什么没有了网卡就可以登录呢？笔者再次将解除故障的思路集中到域名解析上。众所周知在启用了域的网络中，DNS解析的域名与计算机是一一对应的，任何一台计算机没有在主域控制器上保留正确的DNS对应名称的话都将无法使用网络。
　　
　　笔者在主域控制器上查看DNS服务的配置，发现主域控制器的DNS地址被设置为备份域控制器的IP地址。看来是备份域控制器上的DNS解析出现了问题。笔者马上到备份域控制器进行检查，原来是备份域控制器上的网线与网卡接口连接处松动了，也就是说备份域控制器实际上脱离了整个网络。将备份域控制器上的网线插牢后启动主域控制器上的网卡后就可以正常进入系统了，故障得到排除。
　　
　　三、进阶思考：
　　
　　本次故障看似是因为备份域控制器上的网线松动造成的，实际上是我们在建立域时的配置出现问题的结果，为什么这么说呢？因为在建立域时我们最好按照以下规则来配置DNS。
　　
　　（1）DC与BDC上都安装DNS服务，而不是仅仅一台服务器上启用，防止DNS解析错误，为DNS解析提供冗余功能。
　　
　　（2）DC本机DNS服务器设置为自己的IP地址，BDC本机DNS服务器也设置为自己的IP地址。
　　
　　（3）同时在DC上辅助DNS服务器地址还要设置为BDC的地址，相应的BDC上的辅助DNS服务器地址也要设置为DC的IP地址。
　　
　　这样我们在进行DNS解析时就不会轻易出问题了，象本次这样的故障也不会发生了。因为登录主域控制器时进行DNS解析并连接网络时就会自动查询自己本机的DNS设置，即使BDC网线松动或关机也不会影响DC的登录。
　　
　　总结：
　　
　　在Windows系统中配置域控制器是件非常麻烦的事情，而且故障的发生更没有规律可言，所以在升级网络为域时这个初始化操作也一定要遵循上面介绍的规则，这样可以将故障发生机率降到最低。注释掉的------>[服务器维护经验谈]DNS巧解网络故障
　　服务器不仅仅是企业网络设备的中枢，也是企业软件及数据库应用的主体。在实际运行中服务器经常会出现这样或那样的故障，软件的或者硬件的。很多故障是没有规律可言的，我们只能通过经验去解决。笔者负责公司服务器的维护工作，在一次实际工作中遇到了服务器无法登录的故障，排查起来比较奇特，写出来和各位读者分享。
　　
　　一、故障现象：
　　
　　笔者公司规模不是很大，有大概50多台计算机，购买了两台IBM服务器,型号是X SERVICE 200。由于内部使用的某个应用软件需要Windows域的支持，所以在这两台IBM服务器上启用了windows 2000 server的域。一台作为域控制器DC，另一台设置为备份域控制器BDC。
　　
　　由于备份域控制器在管理域上主要起辅助作用，所以配置完毕后基本没有做任何修改和操作。然而前一段却出现了主域控制器DC那台服务器无法登录到系统桌面的故障，每次启动该域控制器都停留在2000的登录界面，即在要求输入管理员帐号和密码操作之前的界面，下方登录信息显示的是“正在连接网络”，等待近一个小时仍然没有任何进展，始终停留在“正在连接网络”提示处。重新启动该服务器按F8可以正常进入安全模式，然而只要一进入正常模式就出现上面提到的问题。
　　
　　二、排查故障：
　　
　　由于系统登录总是停留在“正在连接网络”处，所以笔者怀疑是网络出现问题，例如主域控制器无法通过DNS解析自己。尝试进入安全模式将网卡禁用，这样系统就不会搜索网络，尝试连接网络了。果然通过禁用网卡后系统可以正常进入桌面。
　　
　　不过禁用网卡并不能治本，虽然服务器可以登录桌面但是所提供的服务其他客户机也无法使用了。为什么没有了网卡就可以登录呢？笔者再次将解除故障的思路集中到域名解析上。众所周知在启用了域的网络中，DNS解析的域名与计算机是一一对应的，任何一台计算机没有在主域控制器上保留正确的DNS对应名称的话都将无法使用网络。
　　
　　笔者在主域控制器上查看DNS服务的配置，发现主域控制器的DNS地址被设置为备份域控制器的IP地址。看来是备份域控制器上的DNS解析出现了问题。笔者马上到备份域控制器进行检查，原来是备份域控制器上的网线与网卡接口连接处松动了，也就是说备份域控制器实际上脱离了整个网络。将备份域控制器上的网线插牢后启动主域控制器上的网卡后就可以正常进入系统了，故障得到排除。
　　
　　三、进阶思考：
　　
　　本次故障看似是因为备份域控制器上的网线松动造成的，实际上是我们在建立域时的配置出现问题的结果，为什么这么说呢？因为在建立域时我们最好按照以下规则来配置DNS。
　　
　　（1）DC与BDC上都安装DNS服务，而不是仅仅一台服务器上启用，防止DNS解析错误，为DNS解析提供冗余功能。
　　
　　（2）DC本机DNS服务器设置为自己的IP地址，BDC本机DNS服务器也设置为自己的IP地址。
　　
　　（3）同时在DC上辅助DNS服务器地址还要设置为BDC的地址，相应的BDC上的辅助DNS服务器地址也要设置为DC的IP地址。
　　
　　这样我们在进行DNS解析时就不会轻易出问题了，象本次这样的故障也不会发生了。因为登录主域控制器时进行DNS解析并连接网络时就会自动查询自己本机的DNS设置，即使BDC网线松动或关机也不会影响DC的登录。
　　
　　总结：
　　
　　在Windows系统中配置域控制器是件非常麻烦的事情，而且故障的发生更没有规律可言，所以在升级网络为域时这个初始化操作也一定要遵循上面介绍的规则，这样可以将故障发生机率降到最低。

---

作者: 童话    时间: 2006-5-22 09:43

怎样减少丢包对DNS服务器的影响？
　　DNS使用UDP协议而不是TCP协议，如果数据包丢失，系统没有自动修复功能，这样是否会带来什么问题呢?
　　
　　是的，当DNS的数据包丢失，或者是DNS的服务器无法回复的时候，这就会对用户产生不便。DNS通常会显示检验器的IP地址，否则用户就很难重新建立相应的连接。比如说，您在浏览器中输入
www.yahoo.com
，之后DNS就会把其转换成为66.94.230.38，浏览器就会按照这个地址来寻找相应的网页。当DNS出了问题的时候，浏览器的状态就是在等待回复，或者在Windows资源管理器中，系统会显示出无法找到指定的域的回复。
　　
　　不过，有两个方法可以把DNS问题的影响降到最小。第一，建议使用多台DNS服务器，在这种情况下，如果最先的DNS服务器失效，备份的DNS服务器就会用来处理数据。在一台Windows机器上，可以通过TCP协议实现，建立可靠的连接。具体示例如下:
　　

　　第二种方法(并不推荐)是直接通过IP地址定位，而不通过主服务器转换。但是，这种方法在IP地址更改的时候，就会失效。注释掉的------>怎样减少丢包对DNS服务器的影响？
　　DNS使用UDP协议而不是TCP协议，如果数据包丢失，系统没有自动修复功能，这样是否会带来什么问题呢?
　　
　　是的，当DNS的数据包丢失，或者是DNS的服务器无法回复的时候，这就会对用户产生不便。DNS通常会显示检验器的IP地址，否则用户就很难重新建立相应的连接。比如说，您在浏览器中输入

www.yahoo.com

，之后DNS就会把其转换成为66.94.230.38，浏览器就会按照这个地址来寻找相应的网页。当DNS出了问题的时候，浏览器的状态就是在等待回复，或者在Windows资源管理器中，系统会显示出无法找到指定的域的回复。
　　
　　不过，有两个方法可以把DNS问题的影响降到最小。第一，建议使用多台DNS服务器，在这种情况下，如果最先的DNS服务器失效，备份的DNS服务器就会用来处理数据。在一台Windows机器上，可以通过TCP协议实现，建立可靠的连接。具体示例如下:
　　

　　第二种方法(并不推荐)是直接通过IP地址定位，而不通过主服务器转换。但是，这种方法在IP地址更改的时候，就会失效。

---

作者: 童话    时间: 2006-5-22 09:43

解答:巧设DNS提高系统登录速度
　　问:我是一个小型公司的网络管理员。所在的网络环境是有三十台机器组成的小型局域网络，使用了域进行管理，服务器采用Windows 2000 Server，工作站为Windows 2000 pro和Windows XP。该服务器提供内网的WWW服务和内网的DNS解析功能。
　　
　　前不久出于对宽带速度的羡慕，公司申请了ADSL宽带，并且在共享方式上选择的是目前流行的宽带路由方式。在设置中工作站的网关地址设为路由器的IP地址，DNS设置的是本地电信的DNS地址，所有机器都可以正常上网。不过使用了一段时间就发现了问题，工作站在登录的时候输入用户名和密码以后，登录网络速度奇慢，慢的让人不能忍受，尝试将路由器关闭没有一点起色。希望专家能帮帮我！万分感谢！！
　　
　　答:首先我们要了解为什么登录系统输入用户名和密码以后到桌面显示会很慢，就笔者经验来说第一感觉应该是DNS的问题，因为Windows 2000在启动的时候选择哪个域控制器是根据DNS来寻找的，而客户机设置的DNS为公网IP地址，虽然可以正确解析出搜狐或新浪等站点的IP地址但却无法解析出公司内部域控制器的IP，所以客户机登录到桌面前都会根据这个DNS寻找域控制器的IP，一直也找不到正确值，直到超时终止结束。
　　
　　知道原因以后我们可以按照如下操作进行解决——将客户机的DNS地址修改为域控制器的IP地址，这样系统登录时就可以直接根据IP查找到域控制器了，速度变得很快。
　　
　　但是这样又为实际工作带来了一个新的问题，即如果将客户机的DNS改为域控制器的地址，那只能打开内网的主页而打不开外网的主页，因为域控制器上没有正确的DNS解析，或者说即使能对内网DNS信息解析成功也无法完成对外网网络地址的解析，因此访问搜狐，新浪等站点就会提示无法打开搜索页。
　　
　　那么有没有两全其美的方法呢？
　　
　　其实我们采用这样的方式来解决这个问题：即在DNS服务器上设置转法器，对不知道域名解析的地址进行IP转发，它的原理就是如果目前DNS服务器无法解析该域名时，它就将此域名转发给更高一层的DNS服务器，请求它进行解析。操作方法是打开DNS控制台，右键点击DNS服务器对象，然后单击属性，选择“转发器”标签，在IP地址框里面输入本地电信的DNS服务器的IP地址，然后点击“添加”按钮完成所有操作。设置完毕后即可圆满解决开机缓慢和域名解析的矛盾。
　　
　　小提示：
　　
　　设置前要保证DNS服务器的网关设为路由器的IP地址，这样才能正确访问本地电信的DNS服务器，完成整个地址转发过程。
　　
　　当然实际中有的朋友会遇到服务器的转发器那一项是灰色的，这时请先进入DNS 管理控制台，再展开服务器前面的“+”标志，将标有句号(.)的区域删除即可。
　　
　　今天介绍的这个方法还可以解决不少人都比较困惑一个问题，那就是内网建立了网站，如何保证既能上内网，又能上外网呢？使用这个DNS转发设置就可以完全解决此问题。注释掉的------>解答:巧设DNS提高系统登录速度
　　问:我是一个小型公司的网络管理员。所在的网络环境是有三十台机器组成的小型局域网络，使用了域进行管理，服务器采用Windows 2000 Server，工作站为Windows 2000 pro和Windows XP。该服务器提供内网的WWW服务和内网的DNS解析功能。
　　
　　前不久出于对宽带速度的羡慕，公司申请了ADSL宽带，并且在共享方式上选择的是目前流行的宽带路由方式。在设置中工作站的网关地址设为路由器的IP地址，DNS设置的是本地电信的DNS地址，所有机器都可以正常上网。不过使用了一段时间就发现了问题，工作站在登录的时候输入用户名和密码以后，登录网络速度奇慢，慢的让人不能忍受，尝试将路由器关闭没有一点起色。希望专家能帮帮我！万分感谢！！
　　
　　答:首先我们要了解为什么登录系统输入用户名和密码以后到桌面显示会很慢，就笔者经验来说第一感觉应该是DNS的问题，因为Windows 2000在启动的时候选择哪个域控制器是根据DNS来寻找的，而客户机设置的DNS为公网IP地址，虽然可以正确解析出搜狐或新浪等站点的IP地址但却无法解析出公司内部域控制器的IP，所以客户机登录到桌面前都会根据这个DNS寻找域控制器的IP，一直也找不到正确值，直到超时终止结束。
　　
　　知道原因以后我们可以按照如下操作进行解决——将客户机的DNS地址修改为域控制器的IP地址，这样系统登录时就可以直接根据IP查找到域控制器了，速度变得很快。
　　
　　但是这样又为实际工作带来了一个新的问题，即如果将客户机的DNS改为域控制器的地址，那只能打开内网的主页而打不开外网的主页，因为域控制器上没有正确的DNS解析，或者说即使能对内网DNS信息解析成功也无法完成对外网网络地址的解析，因此访问搜狐，新浪等站点就会提示无法打开搜索页。
　　
　　那么有没有两全其美的方法呢？
　　
　　其实我们采用这样的方式来解决这个问题：即在DNS服务器上设置转法器，对不知道域名解析的地址进行IP转发，它的原理就是如果目前DNS服务器无法解析该域名时，它就将此域名转发给更高一层的DNS服务器，请求它进行解析。操作方法是打开DNS控制台，右键点击DNS服务器对象，然后单击属性，选择“转发器”标签，在IP地址框里面输入本地电信的DNS服务器的IP地址，然后点击“添加”按钮完成所有操作。设置完毕后即可圆满解决开机缓慢和域名解析的矛盾。
　　
　　小提示：
　　
　　设置前要保证DNS服务器的网关设为路由器的IP地址，这样才能正确访问本地电信的DNS服务器，完成整个地址转发过程。
　　
　　当然实际中有的朋友会遇到服务器的转发器那一项是灰色的，这时请先进入DNS 管理控制台，再展开服务器前面的“+”标志，将标有句号(.)的区域删除即可。
　　
　　今天介绍的这个方法还可以解决不少人都比较困惑一个问题，那就是内网建立了网站，如何保证既能上内网，又能上外网呢？使用这个DNS转发设置就可以完全解决此问题。

---

作者: 童话    时间: 2006-5-22 09:44

详细讲解如何进行DNS故障排除
　　问题真的出在 DNS 上吗？
　　在开始讨论如何排除 DNS 问题之前，我们想知道您是否清楚怎样判断某个问题是由 DNS 而不是由别的命名服务造成的。在 Windows 主机上，判断问题的原因是否真的出在 DNS 上可是件困难的事。Windows 支持的命名服务真是名目繁多：如 DNS、WINS、HOSTS、LMHOSTS 等数不胜数。然而常用的 Windows 2000 nslookup 却全然不理会其他这些命名服务。您可能会只顾在 Windows 2000 计算机上运行 nslookup 和查询名称服务器，而有问题的服务却可能在使用另一种不同的命名服务，这样，您无异于竹篮打水。
　　
　　怎样才能知道将矛头指向哪里呢？首先，您需要考虑是哪一类程序出了问题。如果是 TCP/IP 客户端，如 telnet 或 ftp，那么问题可能出在 DNS 和 HOSTS 文件上。如果是一个支持 NetBIOS 命名的实用程序，如 net（与在 net use 中一样）中，那么值得怀疑的还要包括 WINS 和 LMHOSTS 文件。其他也使用 DNS 名称或 NetBIOS 名称作为参数的客户端（如 ping）也会使用这些命名服务中的任意一种。
　　
　　接下来，再考虑 Windows 使用这些命名服务的顺序。在查找问题时，应按照此顺序检查各种服务。
　　
　　这些提示对您查出问题的症结会有帮助，至少可帮您排除一个怀疑对象。如果在缩小了怀疑范围后 DNS 仍脱不了干系，您才需要阅读本章内容。
　　
　　检查缓存
　　如我们前面讲到的，您可以使用 DNS 控制台来检查名称服务器的缓存区中的内容。如果怀疑您的名称服务器缓存了来自另一服务器的错误的或过时的数据，则这一方法可派上用场。如要检查一个服务器的缓存区，请单击 DNS 控制台左窗格中该服务器名称左边的加号。您将看到一个名为 Cached Lookups 的文件夹。单击其左边的加号或双击文件夹图标或标签以展开下一级。这样可显示出您的名称服务器已为其缓存了数据的那些顶级域。继续展开，直至看到您要查看的缓存数据所在的那一域名。在图 13-1 中，我们已通过不断单击展开了要在其中查看缓存数据的 acmebw.com。
　　
　

　　
图 13-1 缓存中 acmebw.com 的 NS 和 A 记录
　　
　　如在右边窗格中所见到的，我们的名称服务器已为 acmebw.com 缓存了三条 NS 记录和一条 A 记录。如果依次双击 net 和 acmebw，我们还会看到这些名称服务器的缓存地址。
　　
　　如果想看缓存数据上的 TTL，请双击右窗格中的一条记录。若 DNS 控制台处于高级查看模式（选择查看 > 高级），则出现的窗口将显示出该记录的 TTL。例如，在图 13-2 中，我们双击了 acmebw.com A 记录。
　　
　

　　
图 13-2 缓存记录上的 TTL
　　
　　在检查 TTL 之前，一定要用操作 > 刷新或用 F5 键刷新 DNS 控制台，否则您看到的 TTL 可能会大于当前 TTL。
　　
　　如果右键单击该记录，您可能会注意到有一个删除记录选项。现在，有某种在 BIND 中无法执行的操作。您可以使用 DNS 控制台一个记录一个记录地删除缓存的数据。如果您知道名称服务器的缓存中某些记录已过时，可以将它们删除并让您的名称服务器从一个权威性名称服务器中获得更新后的记录。
　　
　　潜在问题列表
　　让我们逐一讨论一些在生活中常见的 DNS 问题。这些问题中有许多问题都是容易识别和纠正的。我们当然要讲述这些问题 - 它们之所以是一些最常见的问题，是因为它们是由一些最常见的错误造成的。下面就是这些问题，不分先后顺序。
　　
　　1. 忘记增加序列号
　　只有在您未使用 DNS 控制台而是用手动方式更改区域数据文件时，才会出现此问题。DNS 控制台在它每次更改区域数据时都会记着在 SOA 记录中增加序列号，所以您不必为此操心。不过，这也意味着您可能不会养成更新序列号的习惯，所以在进行一次性手动修改时，您可能会忘记增加序列号。
　　
　　此问题的主要症状是，从属名称服务器不会获得您在主服务器上对该区域做的任何更改。从属服务器认为区域数据并未更改，因为它看到的序列号仍是原来的序列号。
　　
　　该怎样检查当时是否记着增加序列号呢？不幸的是，这就不是那么容易了。如果您不记得原序列号是什么，而现在的序列号不能表明它是什么时候更新的，则没有直接的方法判断它是否已更改。 1
　　
　　在启动主服务器时，不管您是否更改了序列号，它都将加载更新后的区域数据文件。最好的办法只能是使用 nslookup 来比较主服务器和从属服务器返回的数据。如果它们返回不同的数据，则表明您可能忘了增加序列号。如果您能想起最近作的一次更改，则可以查看此数据。如果记不起最近一次作的更改，则可以从一个主服务器和一个从属服务器复制该区域，将结果排序并使用文件比较工具将它们加以比较。
　　
　　还有一个好消息，即，尽管确定该区域此前是否已复制比较难，但现在要确保该区域被复制却非常简单。只须在 DNS 控制台中双击 SOA 记录并手动编辑序列号字段，增加主服务器上此区域的副本中的序列号即可。从属服务器将在刷新时间间隔内获得此新的数据，如果它们用了 NOTIFY，则会更快。
　　
　　2. 忘记重启主要主控服务器
　　与上一个问题一样，只有在手动更改区域数据文件时才会有此问题。DNS 控制台可以动态添加和删除数据，所以不需要重启主要主控名称服务器。
　　
　　但是，如果未使用 DNS 控制台，您可能会在编辑区域数据文件后忘记重启主要主控名称服务器。该名称服务器不知道要加载新数据 - 它不会自动检查此文件以查看是否已更改。这样，您作的任何更改都不能在名称服务器的数据中反映出来：将不会加载新区域，新记录也不会反映到从属服务器。
　　
　　如想查出上次是在什么时候重启名称服务器的，请查看“事件查看器”输出中最后一个条目，它类似于：
　　
　　DNS 服务器已开始。
　　
　　这些事件上的日期和时间将告诉您上次重启名称服务器是在什么时间。
　　
　　如果该重启时间与您上次作更改的时间不相符，则请使用 DNS 控制台停止并重启该名称服务器，然后重新加载其数据。还要检查您更改的区域数据文件上的序列号是否也增加了。
　　
　　3. DNS 服务器丢失以手动方式作的更改
　　最后关于手动更改还要再强调一点：要记住 Microsoft DNS 服务器会定期更新其区域数据文件。每次用 DNS 控制台对一个区域的数据进行更改时，就有一个写操作挂起：在 DNS 服务器退出之前，它必须重写该区域的数据文件，否则它就会丢失您所作的更改。可以将此比作内存中一个已更新的页：操作系统在退出之前必须将它写到磁盘上。
　　
　　如果您在一个写操作挂起期间对一个区域数据文件作了手动更改，则在名称服务器退出后您会莫名其妙地丢失所作的更改。比如您在服务器正在运行且有一个写操作挂起时向一个名为 movie.edu 的新子域添加了委派。作完更改后，您必须将服务器停下并再次启动，以让它再次读取该区域数据。但是在服务器退出时，它将重写 movie.edu 区域数据文件，您的委派于是就会丢掉。如果仔细观察（平时就需要这样）事件查看器，会在服务器停止事件之前看到这样一条消息：
　　
　　The DNS server wrote version 37 of zone movie.edu to file movie.edu.dns.
　　（DNS 服务器写入区域 movie.edu 的版本 37 到 文件 movie.edu.dns。)
　　
　　如果您用操作 | 更新服务器数据文件来强制服务器重写其区域数据文件，则服务器就会与区域数据文件同步，而不必在退出时重写。所以，如果要对区域数据文件作手动更改，那么要么首先停止服务器（但这意味着在您作更改期间服务器将不响应任何查询），要么使用 DNS 控制台将服务器与区域数据文件同步，然后再进行更改。
　　
　　4. 从属服务器无法加载区域数据
　　如果一个从属服务器无法从其主控服务器获取某个区域的当前序列号，那么最初它是不会给您发警告消息的。然而，如果该问题一直存在而且从属服务器在有效期时间内无法确定其数据是否是最新的，那么该区域就会过期。在一个 Microsoft DNS 服务器上，您将在事件查看器中看到与下文类似的一条消息：
　　
　　在获得成功区域复制或从这个区域作为 其源的主服务器获得成功区域复制之前 movie.edu 区域就超时了。该区域已经被关闭。
　　
　　区域过期后，当您向名称服务器查询该区域中的数据时，就会收到 SERVFAIL 错误消息：
　　
　　C:\> nslookup robocop wormhole.movie.edu.
　　Server: wormhole.movie.edu
　　Addresses: 192.249.249.1, 192.253.253.1
　　
　　*** wormhole.movie.edu can't find robocop.movie.edu: Server failed
　　
　　出现此问题的原因主要有三个：由于网络故障与主控服务器的连接断开，为主控服务器配置的 IP 地址不正确，主控服务器上的区域数据文件中有语法错误。
　　
　　首先，应使用 DNS 控制台检查该从属服务器在尝试从中加载数据的那一（些）主控服务器的地址。右键单击左窗格中该区域的域名，选择属性，然后查看常规选项卡，如图 13-3 所示。
　　
　

　　
图 13-3 显示出主控服务器的区域属性窗口
　　
　　确认它是否真是主名称服务器的 IP 地址。如果是，请检查到此 IP 地址的连接：
　　
　　C:\> ping 192.249.249.3
　　Pinging 192.249.249.3 with 32 bytes of data:
　　
　　Request timed out.
　　Request timed out.
　　Request timed out.
　　Request timed out.
　　
　　如果无法连接到主控服务器，请确定该服务器的主机注释掉的------>详细讲解如何进行DNS故障排除
　　问题真的出在 DNS 上吗？
　　在开始讨论如何排除 DNS 问题之前，我们想知道您是否清楚怎样判断某个问题是由 DNS 而不是由别的命名服务造成的。在 Windows 主机上，判断问题的原因是否真的出在 DNS 上可是件困难的事。Windows 支持的命名服务真是名目繁多：如 DNS、WINS、HOSTS、LMHOSTS 等数不胜数。然而常用的 Windows 2000 nslookup 却全然不理会其他这些命名服务。您可能会只顾在 Windows 2000 计算机上运行 nslookup 和查询名称服务器，而有问题的服务却可能在使用另一种不同的命名服务，这样，您无异于竹篮打水。
　　
　　怎样才能知道将矛头指向哪里呢？首先，您需要考虑是哪一类程序出了问题。如果是 TCP/IP 客户端，如 telnet 或 ftp，那么问题可能出在 DNS 和 HOSTS 文件上。如果是一个支持 NetBIOS 命名的实用程序，如 net（与在 net use 中一样）中，那么值得怀疑的还要包括 WINS 和 LMHOSTS 文件。其他也使用 DNS 名称或 NetBIOS 名称作为参数的客户端（如 ping）也会使用这些命名服务中的任意一种。
　　
　　接下来，再考虑 Windows 使用这些命名服务的顺序。在查找问题时，应按照此顺序检查各种服务。
　　
　　这些提示对您查出问题的症结会有帮助，至少可帮您排除一个怀疑对象。如果在缩小了怀疑范围后 DNS 仍脱不了干系，您才需要阅读本章内容。
　　
　　检查缓存
　　如我们前面讲到的，您可以使用 DNS 控制台来检查名称服务器的缓存区中的内容。如果怀疑您的名称服务器缓存了来自另一服务器的错误的或过时的数据，则这一方法可派上用场。如要检查一个服务器的缓存区，请单击 DNS 控制台左窗格中该服务器名称左边的加号。您将看到一个名为 Cached Lookups 的文件夹。单击其左边的加号或双击文件夹图标或标签以展开下一级。这样可显示出您的名称服务器已为其缓存了数据的那些顶级域。继续展开，直至看到您要查看的缓存数据所在的那一域名。在图 13-1 中，我们已通过不断单击展开了要在其中查看缓存数据的 acmebw.com。
　　
　

　　
图 13-1 缓存中 acmebw.com 的 NS 和 A 记录
　　
　　如在右边窗格中所见到的，我们的名称服务器已为 acmebw.com 缓存了三条 NS 记录和一条 A 记录。如果依次双击 net 和 acmebw，我们还会看到这些名称服务器的缓存地址。
　　
　　如果想看缓存数据上的 TTL，请双击右窗格中的一条记录。若 DNS 控制台处于高级查看模式（选择查看 > 高级），则出现的窗口将显示出该记录的 TTL。例如，在图 13-2 中，我们双击了 acmebw.com A 记录。
　　
　

　　
图 13-2 缓存记录上的 TTL
　　
　　在检查 TTL 之前，一定要用操作 > 刷新或用 F5 键刷新 DNS 控制台，否则您看到的 TTL 可能会大于当前 TTL。
　　
　　如果右键单击该记录，您可能会注意到有一个删除记录选项。现在，有某种在 BIND 中无法执行的操作。您可以使用 DNS 控制台一个记录一个记录地删除缓存的数据。如果您知道名称服务器的缓存中某些记录已过时，可以将它们删除并让您的名称服务器从一个权威性名称服务器中获得更新后的记录。
　　
　　潜在问题列表
　　让我们逐一讨论一些在生活中常见的 DNS 问题。这些问题中有许多问题都是容易识别和纠正的。我们当然要讲述这些问题 - 它们之所以是一些最常见的问题，是因为它们是由一些最常见的错误造成的。下面就是这些问题，不分先后顺序。
　　
　　1. 忘记增加序列号
　　只有在您未使用 DNS 控制台而是用手动方式更改区域数据文件时，才会出现此问题。DNS 控制台在它每次更改区域数据时都会记着在 SOA 记录中增加序列号，所以您不必为此操心。不过，这也意味着您可能不会养成更新序列号的习惯，所以在进行一次性手动修改时，您可能会忘记增加序列号。
　　
　　此问题的主要症状是，从属名称服务器不会获得您在主服务器上对该区域做的任何更改。从属服务器认为区域数据并未更改，因为它看到的序列号仍是原来的序列号。
　　
　　该怎样检查当时是否记着增加序列号呢？不幸的是，这就不是那么容易了。如果您不记得原序列号是什么，而现在的序列号不能表明它是什么时候更新的，则没有直接的方法判断它是否已更改。 1
　　
　　在启动主服务器时，不管您是否更改了序列号，它都将加载更新后的区域数据文件。最好的办法只能是使用 nslookup 来比较主服务器和从属服务器返回的数据。如果它们返回不同的数据，则表明您可能忘了增加序列号。如果您能想起最近作的一次更改，则可以查看此数据。如果记不起最近一次作的更改，则可以从一个主服务器和一个从属服务器复制该区域，将结果排序并使用文件比较工具将它们加以比较。
　　
　　还有一个好消息，即，尽管确定该区域此前是否已复制比较难，但现在要确保该区域被复制却非常简单。只须在 DNS 控制台中双击 SOA 记录并手动编辑序列号字段，增加主服务器上此区域的副本中的序列号即可。从属服务器将在刷新时间间隔内获得此新的数据，如果它们用了 NOTIFY，则会更快。
　　
　　2. 忘记重启主要主控服务器
　　与上一个问题一样，只有在手动更改区域数据文件时才会有此问题。DNS 控制台可以动态添加和删除数据，所以不需要重启主要主控名称服务器。
　　
　　但是，如果未使用 DNS 控制台，您可能会在编辑区域数据文件后忘记重启主要主控名称服务器。该名称服务器不知道要加载新数据 - 它不会自动检查此文件以查看是否已更改。这样，您作的任何更改都不能在名称服务器的数据中反映出来：将不会加载新区域，新记录也不会反映到从属服务器。
　　
　　如想查出上次是在什么时候重启名称服务器的，请查看“事件查看器”输出中最后一个条目，它类似于：
　　
　　DNS 服务器已开始。
　　
　　这些事件上的日期和时间将告诉您上次重启名称服务器是在什么时间。
　　
　　如果该重启时间与您上次作更改的时间不相符，则请使用 DNS 控制台停止并重启该名称服务器，然后重新加载其数据。还要检查您更改的区域数据文件上的序列号是否也增加了。
　　
　　3. DNS 服务器丢失以手动方式作的更改
　　最后关于手动更改还要再强调一点：要记住 Microsoft DNS 服务器会定期更新其区域数据文件。每次用 DNS 控制台对一个区域的数据进行更改时，就有一个写操作挂起：在 DNS 服务器退出之前，它必须重写该区域的数据文件，否则它就会丢失您所作的更改。可以将此比作内存中一个已更新的页：操作系统在退出之前必须将它写到磁盘上。
　　
　　如果您在一个写操作挂起期间对一个区域数据文件作了手动更改，则在名称服务器退出后您会莫名其妙地丢失所作的更改。比如您在服务器正在运行且有一个写操作挂起时向一个名为 movie.edu 的新子域添加了委派。作完更改后，您必须将服务器停下并再次启动，以让它再次读取该区域数据。但是在服务器退出时，它将重写 movie.edu 区域数据文件，您的委派于是就会丢掉。如果仔细观察（平时就需要这样）事件查看器，会在服务器停止事件之前看到这样一条消息：
　　
　　The DNS server wrote version 37 of zone movie.edu to file movie.edu.dns.
　　（DNS 服务器写入区域 movie.edu 的版本 37 到 文件 movie.edu.dns。)
　　
　　如果您用操作 | 更新服务器数据文件来强制服务器重写其区域数据文件，则服务器就会与区域数据文件同步，而不必在退出时重写。所以，如果要对区域数据文件作手动更改，那么要么首先停止服务器（但这意味着在您作更改期间服务器将不响应任何查询），要么使用 DNS 控制台将服务器与区域数据文件同步，然后再进行更改。
　　
　　4. 从属服务器无法加载区域数据
　　如果一个从属服务器无法从其主控服务器获取某个区域的当前序列号，那么最初它是不会给您发警告消息的。然而，如果该问题一直存在而且从属服务器在有效期时间内无法确定其数据是否是最新的，那么该区域就会过期。在一个 Microsoft DNS 服务器上，您将在事件查看器中看到与下文类似的一条消息：
　　
　　在获得成功区域复制或从这个区域作为 其源的主服务器获得成功区域复制之前 movie.edu 区域就超时了。该区域已经被关闭。
　　
　　区域过期后，当您向名称服务器查询该区域中的数据时，就会收到 SERVFAIL 错误消息：
　　
　　C:\> nslookup robocop wormhole.movie.edu.
　　Server: wormhole.movie.edu
　　Addresses: 192.249.249.1, 192.253.253.1
　　
　　*** wormhole.movie.edu can't find robocop.movie.edu: Server failed
　　
　　出现此问题的原因主要有三个：由于网络故障与主控服务器的连接断开，为主控服务器配置的 IP 地址不正确，主控服务器上的区域数据文件中有语法错误。
　　
　　首先，应使用 DNS 控制台检查该从属服务器在尝试从中加载数据的那一（些）主控服务器的地址。右键单击左窗格中该区域的域名，选择属性，然后查看常规选项卡，如图 13-3 所示。
　　
　

　　
图 13-3 显示出主控服务器的区域属性窗口
　　
　　确认它是否真是主名称服务器的 IP 地址。如果是，请检查到此 IP 地址的连接：
　　
　　C:\> ping 192.249.249.3
　　Pinging 192.249.249.3 with 32 bytes of data:
　　
　　Request timed out.
　　Request timed out.
　　Request timed out.
　　Request timed out.
　　
　　如果无法连接到主控服务器，请确定该服务器的主机

---

作者: 童话    时间: 2006-5-22 09:44

主要省份城市的DNS服务器地址
　　省份/城市 DNS 名称 DNS IP ADDRESS
　　==========================================================
　　香港 ns1.netvigator.com 205.252.144.228
　　
　　澳门 vassun2.macau.ctm.net 202.175.3.8
　　
　　深圳 ns.shenzhen.gd.cn 202.96.134.133
　　202.96.154.8
　　202.96.154.15
　　
　　北京 ns.bta.net.cn 202.96.0.133
　　ns.spt.net.cn 202.96.199.133
　　ns.cn.net 202.97.16.195
　　202.106.0.20
　　202.106.148.1
　　202.106.196.115
　　
　　广东 ns.guangzhou.gd.cn 202.96.128.143
　　dns.guangzhou.gd.cn 202.96.128.68
　　
　　上海 ns.sta.net.cn 202.96.199.132
　　202.96.199.133
　　202.96.209.5
　　202.96.209.133
　　
　　浙江 dns.zj.cninfo.net 202.96.102.3
　　202.96.96.68
　　202.96.104.18
　　
　　陕西 ns.snnic.com 202.100.13.11
　　
　　西安: 202.100.4.15
　　202.100.0.68
　　
　　天津 ns.tpt.net.cn 202.99.96.68
　　
　　辽宁 ns.dcb.ln.cn 202.96.75.68
　　202.96.75.64
　　202.96.64.68
　　202.96.69.38
　　202.96.86.18
　　202.96.86.24
　　
　　江苏 pub.jsinfo.net 202.102.29.3
　　202.102.13.141
　　202.102.24.35
　　
　　安徽：
　　202.102.192.68
　　202.102.199.68
　　
　　
　　四川 ns.sc.cninfo.net 61.139.2.69
　　
　　重庆 61.128.128.68
　　61.128.192.4
　　
　　成都: 202.98.96.68
　　202.98.96.69
　　
　　河北 ns.hesjptt.net.cn 202.99.160.68
　　
　　保定: 202.99.160.68
　　202.99.166.4
　　
　　山西 ns.sxyzptt.net.cn 202.99.198.6
　　
　　吉林 ns.jlccptt.net.cn 202.98.5.68
　　
　　山东 202.102.152.3
　　202.102.128.68
　　
　　福建 dns.fz.fj.cn 202.101.98.55
　　
　　湖南 202.103.100.206
　　
　　广西 10.138.128.40
　　202.103.224.68
　　202.103.225.68
　　
　　江西 202.109.129.2
　　202.101.224.68
　　202.101.240.36
　　
　　云南 ns.ynkmptt.net.cn 202.98.160.68
　　
　　河南: 202.102.227.68
　　202.102.224.68
　　202.102.245.12
　　
　　新疆: 61.128.97.73
　　
　　乌鲁木齐 61.128.97.73
　　61.128.97.74
　　
　　武汉: 202.103.24.68
　　202.103.0.117
　　
　　厦门两个
　　202.101.103.55
　　202.101.103.54
　　
　　山东的: 202.102.134.68
　　
　　长沙
　　202.103.96.68
　　202.103.96.112
　　
　　一些教育网内的----不一定好用
　　202.203.128.33 cernet云南中心主dns
　　202.203.128.34
　　
　　210.14.232.241 and 203.93.19.133 罗湖
　　202.112.10.37 长安
　　202.115.64.33 and 202.115.64.34 西南交大
　　202.201.48.1 and 202.201.48.2 nwnu
　　210.33.116.112 浙江电大
　　202.116.160.33 华南农业
　　202.114.240.6 wust
　　202.194.48.130 ytnc
　　202.114.0.242 and 202.112.20.131 华中科大
　　202.202.128.33 and 202.202.128.34 重庆医科大？西安交大？
　　202.112.0.33 and 202.112.0.34 cernet 华北网
　　210.38.192.33 韶关注释掉的------>主要省份城市的DNS服务器地址
　　省份/城市 DNS 名称 DNS IP ADDRESS
　　==========================================================
　　香港 ns1.netvigator.com 205.252.144.228
　　
　　澳门 vassun2.macau.ctm.net 202.175.3.8
　　
　　深圳 ns.shenzhen.gd.cn 202.96.134.133
　　202.96.154.8
　　202.96.154.15
　　
　　北京 ns.bta.net.cn 202.96.0.133
　　ns.spt.net.cn 202.96.199.133
　　ns.cn.net 202.97.16.195
　　202.106.0.20
　　202.106.148.1
　　202.106.196.115
　　
　　广东 ns.guangzhou.gd.cn 202.96.128.143
　　dns.guangzhou.gd.cn 202.96.128.68
　　
　　上海 ns.sta.net.cn 202.96.199.132
　　202.96.199.133
　　202.96.209.5
　　202.96.209.133
　　
　　浙江 dns.zj.cninfo.net 202.96.102.3
　　202.96.96.68
　　202.96.104.18
　　
　　陕西 ns.snnic.com 202.100.13.11
　　
　　西安: 202.100.4.15
　　202.100.0.68
　　
　　天津 ns.tpt.net.cn 202.99.96.68
　　
　　辽宁 ns.dcb.ln.cn 202.96.75.68
　　202.96.75.64
　　202.96.64.68
　　202.96.69.38
　　202.96.86.18
　　202.96.86.24
　　
　　江苏 pub.jsinfo.net 202.102.29.3
　　202.102.13.141
　　202.102.24.35
　　
　　安徽：
　　202.102.192.68
　　202.102.199.68
　　
　　
　　四川 ns.sc.cninfo.net 61.139.2.69
　　
　　重庆 61.128.128.68
　　61.128.192.4
　　
　　成都: 202.98.96.68
　　202.98.96.69
　　
　　河北 ns.hesjptt.net.cn 202.99.160.68
　　
　　保定: 202.99.160.68
　　202.99.166.4
　　
　　山西 ns.sxyzptt.net.cn 202.99.198.6
　　
　　吉林 ns.jlccptt.net.cn 202.98.5.68
　　
　　山东 202.102.152.3
　　202.102.128.68
　　
　　福建 dns.fz.fj.cn 202.101.98.55
　　
　　湖南 202.103.100.206
　　
　　广西 10.138.128.40
　　202.103.224.68
　　202.103.225.68
　　
　　江西 202.109.129.2
　　202.101.224.68
　　202.101.240.36
　　
　　云南 ns.ynkmptt.net.cn 202.98.160.68
　　
　　河南: 202.102.227.68
　　202.102.224.68
　　202.102.245.12
　　
　　新疆: 61.128.97.73
　　
　　乌鲁木齐 61.128.97.73
　　61.128.97.74
　　
　　武汉: 202.103.24.68
　　202.103.0.117
　　
　　厦门两个
　　202.101.103.55
　　202.101.103.54
　　
　　山东的: 202.102.134.68
　　
　　长沙
　　202.103.96.68
　　202.103.96.112
　　
　　一些教育网内的----不一定好用
　　202.203.128.33 cernet云南中心主dns
　　202.203.128.34
　　
　　210.14.232.241 and 203.93.19.133 罗湖
　　202.112.10.37 长安
　　202.115.64.33 and 202.115.64.34 西南交大
　　202.201.48.1 and 202.201.48.2 nwnu
　　210.33.116.112 浙江电大
　　202.116.160.33 华南农业
　　202.114.240.6 wust
　　202.194.48.130 ytnc
　　202.114.0.242 and 202.112.20.131 华中科大
　　202.202.128.33 and 202.202.128.34 重庆医科大？西安交大？
　　202.112.0.33 and 202.112.0.34 cernet 华北网
　　210.38.192.33 韶关

---

作者: 童话    时间: 2006-5-22 09:44

DNS专题---诊断工具和实用程序
　　本章内容包括：
　　nslookup：nslookup工具包括在windows NT和windows 2000 中并总是随同BIND软件包一起提供。这个很有用的诊断工具可提供许多选项，并提供一种方法以便从头到尾地跟踪DNS查询。
　　dig：dig工具没有nslookup那么强大。它也随同BIND一起提供，并能比nslookup提供更多的信息。
　　dnscmd：windows 2000 的资源工具箱新提供了用来完成DNS服务器管理任务的命令行工具dnscmd，没有该工具只能通过DNS服务器的管理界面完成DNS服务器管理任务。
　　ping：ping工具可以提供一种最简单的方法来验证网络上的另一台主机是否可以接通。它可能是TCP／IP最常用的诊断工具。
　　pathping：这个windows 2000 特有的命令在ping报文中提供了类似tracert的信息。
　　tracert：就如其名字中所隐含的意义，tracert工具可以指出分组从一台计算机到另一台计算机所经过的路由。该命令类似于UNIX下的traceroute命令。
　　Netlab：Netlab是网络工具中的“瑞士军刀”。这个共享软件可以免费下裁，并具有多种工具的功能，使用简单友好的图形界面。
　　Host：Host是本章选择的第二个自由软件工具。这个命令行工具提供了不少高级的查询功能，如使用nslookup则需一系列的命令才能完成。
　　ipconfig：windows NT和windows 2000 内置的命令行工具ipcongfig可以提供关于每个TCP／IP网络接口如何配置的基本信息，并提供对DHCP客户端租借的控制。
　　winipcfg：windows 95和windows 98 内置的图形界面工具。winipcfg也能提供每个TCP／IP网络接口是如何配置的基本信息。
　　netdiag：windows 2000 的资源工具箱新提供了能用来完成各种网络配置任务的命令行工具netdrag。在诊断活动目录支持方面的问题时它是最有用的，这些问题中有许多是由DNS引起的。
　　netsh：它是windows 2000 新提供的网络界面工具。该界面对上下文提供丰富的设置，并且允许上下文的扩展。尽管它并不提供DNS、网络接口、DHCP以及WINS的上下文，但对初学者来说，它仍是进行windows 2000 网络管理时必须知道的工具。
　　netstat：windows 95、windows 98 、windows NT和windows 2000 内置的命令行工具。netstat不仅提供TCP／IP接口的配置信息，还可以提供关于路由、连接、端口和连接统计的信息。
　　nbtstat：windows 95、windows 98 、windows NT和windows 2000 内置的命令行工具。nbtstat提供NetBIOS信息，包括连接和统计信息，并在某些平台中提供设置控制。
　　SystemMontor：这是windows NT和2000 的标准工具。它有一个具有许多有用的计数器的DNS对象，这些计数器覆盖了DNS服务器操作性统计数据的许多重要方面。
　　netmon：这是windows 2000 和NT的标准的用于在报文级监测正在发生的通信的工具。
　　12.1nslookup
　　nslookup是用来进行手动DNS查询的最常用工具。这个独特的工具具有一种特性：它既可以模拟标准的客户解析器，也可模拟服务器。作为客户解析器，nslookup可以直接向服务器查询信息。而用作服务器，nslookup可以实现从主服务器到辅服务器的域区传送。这个工具可以用于两种模式：非交互模式(这时要从命令行输入完整的命令，如nslookupwww.example.net)和交互模式(这时只键入nslookup和回车，不输入参数)。任何一种模式都可将参数传递给nslookup，但在域名服务器出现故障时更多地使用交互模式。在交互模式下，可以在提示符“＞”下键入help或“?”来获得帮助信息。执行help命令将提供以下各节所涉及的命令的基本信息。注意本章中的多数命令的例子是在nslookup的交互模式下执行的。
　　非交互模式下对nslookup的使用如下所示。如果在本地主机上执行nslookup命令，缺省的域名服务器是ns.win2000 dns.com（注意win2000 dns.com这个地址只是个例子）。注意“Non-authoritativeanswer”行，这是唯一用于指示查询是否是从缓存中获得回答。如果服务器是该名字的授权服务器，这一行就不会出现。
　　　

　　也可以这样使用：nslookupwww.example.netvenera.isi.edu，其中第二个主机名是用于取代缺省服务器的。可以看到现在的回答是授权的。
　　　

　　如果正在使用命令行模式，并且想使用后续部分将讲到的一些参数，请记住将这些参数放在前面，并可以将这些参数省略到仍能保持独一无二，不会与其他参数混淆的程度。如果想看到解析过程中所有的通信，可以使用命令nslookup-d2www.example.netvenera.isi.edu，尽管大多数时候使用参数-d就足够了。
　　在对nslookup所提供的选项做详细解释以前，先介绍一下使用这个工具时所需记住的几个要点。前面提到过，nslookup有自己的解析器。因为nslookup可以发送递归查询或迭代查询，所以需要指定解析器所使用的方式。当调试DNS服务器时，常需要从缺省的递归查询转换到迭代查询以检查该DNS服务器所知道的信息。通过选项settype=any限制所返回的资源记录的
　　类型有时是十分有用的。如果不需要所有的类型，使用any以外的参数，缺省值是A记录。通过使用选项serverName和lserverName，解析器将指向你的服务器或其他的服务器，两种选项下参数Name本身被解析的过程是不同的。如果已经使用选项serverx.y.z使解析器指向一台非法的机器x.y.z，那么再使用serversome.good.nameserver将会失败，因为x.y.z不能用来解析some.good.nameserver。在这种情况下，必须使用IP协议或使用lserversome.good.nameserver，假设本地服务器（即lserver）是一个合法的名字服务器。通过设置选项defname、domain、search和srchlist或者使用带句点后缀的全域名可以控制解析过程中对域名的补全。有疑问的时候，执行交互式的命令setall察看当前配置。最后，对windows 使用者来说不易引起注意的一件事是Ctrl+C可以用来终止命令的执行。如果用命令LS启动了一次域区传送并想在中途中止命令的执行，那么Ctrl+C将使你返回到nslookup的命令提示符下。
　　12.1.1help(?)命令
　　　

　　　

　　下面的选项列在windows nslookup的帮助信息的早期版本中，提供了该书出版时的windows 2000 版本中的nslookup所接收的深层选项的有关信息。
　　

注释掉的------>DNS专题---诊断工具和实用程序
　　本章内容包括：
　　nslookup：nslookup工具包括在windows NT和windows 2000 中并总是随同BIND软件包一起提供。这个很有用的诊断工具可提供许多选项，并提供一种方法以便从头到尾地跟踪DNS查询。
　　dig：dig工具没有nslookup那么强大。它也随同BIND一起提供，并能比nslookup提供更多的信息。
　　dnscmd：windows 2000 的资源工具箱新提供了用来完成DNS服务器管理任务的命令行工具dnscmd，没有该工具只能通过DNS服务器的管理界面完成DNS服务器管理任务。
　　ping：ping工具可以提供一种最简单的方法来验证网络上的另一台主机是否可以接通。它可能是TCP／IP最常用的诊断工具。
　　pathping：这个windows 2000 特有的命令在ping报文中提供了类似tracert的信息。
　　tracert：就如其名字中所隐含的意义，tracert工具可以指出分组从一台计算机到另一台计算机所经过的路由。该命令类似于UNIX下的traceroute命令。
　　Netlab：Netlab是网络工具中的“瑞士军刀”。这个共享软件可以免费下裁，并具有多种工具的功能，使用简单友好的图形界面。
　　Host：Host是本章选择的第二个自由软件工具。这个命令行工具提供了不少高级的查询功能，如使用nslookup则需一系列的命令才能完成。
　　ipconfig：windows NT和windows 2000 内置的命令行工具ipcongfig可以提供关于每个TCP／IP网络接口如何配置的基本信息，并提供对DHCP客户端租借的控制。
　　winipcfg：windows 95和windows 98 内置的图形界面工具。winipcfg也能提供每个TCP／IP网络接口是如何配置的基本信息。
　　netdiag：windows 2000 的资源工具箱新提供了能用来完成各种网络配置任务的命令行工具netdrag。在诊断活动目录支持方面的问题时它是最有用的，这些问题中有许多是由DNS引起的。
　　netsh：它是windows 2000 新提供的网络界面工具。该界面对上下文提供丰富的设置，并且允许上下文的扩展。尽管它并不提供DNS、网络接口、DHCP以及WINS的上下文，但对初学者来说，它仍是进行windows 2000 网络管理时必须知道的工具。
　　netstat：windows 95、windows 98 、windows NT和windows 2000 内置的命令行工具。netstat不仅提供TCP／IP接口的配置信息，还可以提供关于路由、连接、端口和连接统计的信息。
　　nbtstat：windows 95、windows 98 、windows NT和windows 2000 内置的命令行工具。nbtstat提供NetBIOS信息，包括连接和统计信息，并在某些平台中提供设置控制。
　　SystemMontor：这是windows NT和2000 的标准工具。它有一个具有许多有用的计数器的DNS对象，这些计数器覆盖了DNS服务器操作性统计数据的许多重要方面。
　　netmon：这是windows 2000 和NT的标准的用于在报文级监测正在发生的通信的工具。
　　12.1nslookup
　　nslookup是用来进行手动DNS查询的最常用工具。这个独特的工具具有一种特性：它既可以模拟标准的客户解析器，也可模拟服务器。作为客户解析器，nslookup可以直接向服务器查询信息。而用作服务器，nslookup可以实现从主服务器到辅服务器的域区传送。这个工具可以用于两种模式：非交互模式(这时要从命令行输入完整的命令，如nslookupwww.example.net)和交互模式(这时只键入nslookup和回车，不输入参数)。任何一种模式都可将参数传递给nslookup，但在域名服务器出现故障时更多地使用交互模式。在交互模式下，可以在提示符“＞”下键入help或“?”来获得帮助信息。执行help命令将提供以下各节所涉及的命令的基本信息。注意本章中的多数命令的例子是在nslookup的交互模式下执行的。
　　非交互模式下对nslookup的使用如下所示。如果在本地主机上执行nslookup命令，缺省的域名服务器是ns.win2000 dns.com（注意win2000 dns.com这个地址只是个例子）。注意“Non-authoritativeanswer”行，这是唯一用于指示查询是否是从缓存中获得回答。如果服务器是该名字的授权服务器，这一行就不会出现。
　　　

　　也可以这样使用：nslookupwww.example.netvenera.isi.edu，其中第二个主机名是用于取代缺省服务器的。可以看到现在的回答是授权的。
　　　

　　如果正在使用命令行模式，并且想使用后续部分将讲到的一些参数，请记住将这些参数放在前面，并可以将这些参数省略到仍能保持独一无二，不会与其他参数混淆的程度。如果想看到解析过程中所有的通信，可以使用命令nslookup-d2www.example.netvenera.isi.edu，尽管大多数时候使用参数-d就足够了。
　　在对nslookup所提供的选项做详细解释以前，先介绍一下使用这个工具时所需记住的几个要点。前面提到过，nslookup有自己的解析器。因为nslookup可以发送递归查询或迭代查询，所以需要指定解析器所使用的方式。当调试DNS服务器时，常需要从缺省的递归查询转换到迭代查询以检查该DNS服务器所知道的信息。通过选项settype=any限制所返回的资源记录的
　　类型有时是十分有用的。如果不需要所有的类型，使用any以外的参数，缺省值是A记录。通过使用选项serverName和lserverName，解析器将指向你的服务器或其他的服务器，两种选项下参数Name本身被解析的过程是不同的。如果已经使用选项serverx.y.z使解析器指向一台非法的机器x.y.z，那么再使用serversome.good.nameserver将会失败，因为x.y.z不能用来解析some.good.nameserver。在这种情况下，必须使用IP协议或使用lserversome.good.nameserver，假设本地服务器（即lserver）是一个合法的名字服务器。通过设置选项defname、domain、search和srchlist或者使用带句点后缀的全域名可以控制解析过程中对域名的补全。有疑问的时候，执行交互式的命令setall察看当前配置。最后，对windows 使用者来说不易引起注意的一件事是Ctrl+C可以用来终止命令的执行。如果用命令LS启动了一次域区传送并想在中途中止命令的执行，那么Ctrl+C将使你返回到nslookup的命令提示符下。
　　12.1.1help(?)命令
　　　

　　　

　　下面的选项列在windows nslookup的帮助信息的早期版本中，提供了该书出版时的windows 2000 版本中的nslookup所接收的深层选项的有关信息。
　　

---

作者: ldsystem    时间: 2006-5-22 10:12

不错,此帖加精,继续努力!

---

作者: 浪迹天涯    时间: 2006-5-22 10:33

先顶再看,谢谢分享!

---

作者: Net    时间: 2006-5-22 13:29

好帖,顶一下

---

作者: 兴爷    时间: 2006-5-24 13:12

顶！继续努力！

---

作者: jerry768    时间: 2008-8-18 14:39

这也精华???

我还不如买本书去看 那么长的文章看完眼睛都瞎了

---

欢迎光临 IT家园 (http://bbs.it998.com/)

Powered by Discuz! 7.2